Výzkumník: Chyba Twitteru poskytla třetím stranám neautorizovaný přístup k soukromým zprávám

Uživatelé, kteří se přihlásili na třetí stranu Webové nebo mobilní aplikace používající své Twitter účty mohly dát těmto aplikacím přístup k soukromým "přímým" zprávám Twitter, aniž by to věděly, podle Cesara Cerruda, vedoucího technologického poradce bezpečnostní poradenské společnosti IOActive.

Problém je výsledkem chyba v rozhraní Twitter API (aplikační programovací rozhraní), která vedla k tomu, že uživatelé nejsou řádně informováni o tom, jaké oprávnění aplikace bude mít na jejich účet nts byl udělen přístup. Cerrudo tento problém popsal a vysvětlil, jak ho objevil v blogu zveřejněném úterý.

Aplikace, které umožňují uživatelům přihlásit se svými Twitterovými účty, musí být registrovány na Twitteru na adrese //dev.twitter.com/apps. Během registrace musí jejich vývojáři prohlásit úroveň přístupu, kterou aplikace budou mít k účtům lidí: "pouze pro čtení", "čtení a zápis" nebo "čtení, zápis a přístup k přímým zprávám."

odstranění škodlivého softwaru z počítače se systémem Windows]

Pokud se uživatelé pokusí o přihlášení do takové aplikace poprvé pomocí svých účtů Twitter, přesměrují se na autorizační stránku na webových stránkách společnosti Twitter, která uvádí oprávnění požadovaná konkrétní aplikací.

Cerrudo uvedl, že objevil problém, když testoval aplikaci vyvinutou přítelem, který měl povoleno "číst, psát a zpřístupnit přímé zprávy".

Když se poprvé přihlásil do aplikace se svým Twitterem účet byl přesměrován na autorizační stránku, která ho informovala, že aplikace bude moci číst tweety z jeho časové osy, zjistit, které uživatelé se bude řídit, sledovat nové uživatele v jeho zastoupení, aktualizovat svůj profil inf a jeho příspěvky, řekl. Stránky jasně poznamenaly, že aplikace nebude mít přístup k přímým zprávám ani k heslu účtu.

"Po prohlížení zobrazené webové stránky jsem důvěřoval tomu, že Twitter by neumožnil aplikaci přístup k mému heslu a přímým zprávám" napsal na blogu. "Cítil jsem, že můj účet je v bezpečí, takže jsem se přihlásil a hrál s aplikací."

Vědec zjistil, že aplikace má funkčnost pro přístup a zobrazení přímých zpráv, ale tato funkce zřejmě nefunguje. To dalo smysl, protože nebyl požádán o udělení tohoto povolení.

Nicméně, po přihlášení a odhlášení z aplikace a Twitter několikrát se jeho přímé zprávy začaly objevovat v aplikaci. Při kontrole seznamu aplikací oprávněných k interakci se svým účtem Twitter (Nastavení> Apps) si všiml, že aplikace skutečně měla oprávnění pro čtení, zápis a přístup k přímým zprávám.

"Uvědomil jsem si, že jde o obrovskou bezpečnost "výzkumník potvrdil úterý, že několikrát úspěšně opakoval chování tím, že zrušil přístup k aplikaci a znovu prošel autorizačním procesem, aniž by byl varován, že aplikace bude moci číst jeho soukromé zprávy. Problém byl hlášen na Twitteru dne 16. ledna a byl adresován za méně než 24 hodin.

"Řekli, že k problému došlo kvůli komplexnímu kódu a nesprávným předpokladům a validacím," uvedl Cerrudo na blogu.

Zdá se však, že opravy Twitteru se nepoužívají zpětně. Poté, co Twitter opravil problém, aplikace Cerrudo testovala, že již měl přístup ke svému účtu, i nadále zobrazoval přímé zprávy, aniž by obdržel od něj oprávnění, aby tak učinil, řekl.

Uživatelé Twitteru by měli zkontrolovat, zda některá ze schválených aplikací v minulosti nezískala přístup k jejich přímým zprávám bez jejich znalostí, řekl Cerrudo. Toho lze provést přezkoumáním jejich oprávnění na stránce Nastavení Twitter> Aplikace.

Cerrudo se rozhodl zveřejnit tento problém, protože to může mít vážné důsledky a protože společnost Twitter nevydal veřejné oznámení nebo oznámení o tom. Společnost by měla udržovat vyhrazenou stránku, kde může informovat uživatele o bezpečnostních problémech, Twitter neodpověděl okamžitě na žádost o komentář