Car-tech

Brukere som logget på tredjepart Web- eller mobilapplikasjoner som bruker Twitter-kontoer, kan ha gitt disse programmene tilgang til sine Twitter-private "direkte" meldinger uten å vite det, ifølge Cesar Cerrudo, sjefsteknologsjef i sikkerhetskonsulentfirmaet IOActive.

THESE TWEETS SHOULD'VE STAYED PRIVATE ft. BrookeAB, NoahJ456, The Mob

THESE TWEETS SHOULD'VE STAYED PRIVATE ft. BrookeAB, NoahJ456, The Mob
Anonim

Programmer som tillater brukere å logge inn med Twitter-kontoene sine må registreres på Twitter på //dev.twitter.com/apps. Under registreringen må utviklerne deklarere tilgangsnivåene søknadene skal ha på folks kontoer: «skrivebeskyttet», «les og skrive» eller «lese, skrive og få tilgang til direkte meldinger».

[Videre lesing: Hvordan for å fjerne malware fra din Windows-PC]

Når brukere prøver å logge inn på et slikt program for første gang, bruker de Twitter-kontoene, blir de omdirigert til en autorisasjonsside på Twitters nettsted som viser tillatelsene som er forespurt av det aktuelle programmet.

Cerrudo sa at han oppdaget problemet mens han prøvde et søknad utviklet av en venn som hadde "les, skriv og få tilgang til direkte meldinger" tillatelse som ble erklært med Twitter.

Da han først logget på søknaden med sin Twitter konto ble han omdirigert til en autorisasjonsside som informerte ham om at søknaden ville kunne lese tweets fra sin tidslinje, se hvilke brukere han følger, følg nye brukere på hans vegne, oppdatere profilen sin inf ormasjon og post tweets på hans vegne, sa han. Siden oppdaget klart at søknaden ikke ville kunne få tilgang til direktemeldinger eller kontoens passord.

"Etter at jeg hadde vist den viste nettsiden, stolte jeg på at Twitter ikke ville gi applikasjonen tilgang til passordet mitt og direkte meldinger," han skrev på bloggen. "Jeg følte at kontoen min var trygg, så jeg logget på og spilte med programmet."

Forskeren oppdaget at programmet hadde funksjonalitet for å få tilgang til og vise direktemeldinger, men funksjonen virket ikke som å fungere. Dette var fornuftig fordi han ikke hadde blitt bedt om å gi den tillatelsen.

Men etter at han meldte seg inn og ut av applikasjonen og Twitter et par ganger, begynte hans direkte meldinger å vises i søknaden. Når han sjekket listen over applikasjoner som var autorisert til å kommunisere med sin Twitter-konto (Innstillinger> Apps), la han merke til at programmet faktisk hadde lese, skrive og få tilgang til direktemeldinger.

"Jeg skjønte at dette var en stor sikkerhet hull, sier Cerrudo.

Forskeren bekreftet tirsdag at han med suksess reproduserte oppførselen flere ganger ved å tilbakekalle tilgangen til appen og gå gjennom autorisasjonsprosessen igjen uten å bli advart om at appen kunne lese sine private meldinger. Problemet ble rapportert til Twitter den 16. januar og ble adressert på mindre enn 24 timer, sa han. «De sa at problemet oppstod på grunn av komplisert kode og feil antagelser og valideringer,» sa Cerrudo i blogginnlegget.

Twitter-rettelsen ser imidlertid ikke ut til å gjelde retroaktivt. Etter at Twitter rettet problemet, ble appen Cerrudo testet som allerede hadde tilgang til kontoen sin, fortsatt å vise direktemeldinger til tross for at han aldri fikk autorisasjon fra det, sa han.

Twitter-brukere bør sjekke om noen av de appene de har autorisert tidligere, fikk også tilgang til sine direkte meldinger uten deres kunnskap, sa Cerrudo. Dette kan gjøres ved å gjennomgå deres tillatelser på Twitter-siden Innstillinger> Apps.

Cerrudo bestemte seg for å gjøre dette problemet offentlig fordi det kan få alvorlige konsekvenser, og fordi Twitter ikke utstedte en offentlig rådgivning eller kunngjøring om det. Selskapet bør opprettholde en dedikert side der den kan informere brukerne om sikkerhetsproblemer, sa han.

Twitter reagerte ikke umiddelbart på en forespørsel om kommentar.