חוקר: פגם של טוויטר נתן ליישומים של צד שלישי גישה לא מורשית להודעות פרטיות

משתמשים שנכנסו צד שלישי יישומי אינטרנט או ניידים באמצעות חשבונות טוויטר שלהם היו עשויים לתת ליישומים אלה גישה להודעות "פרטיות" פרטיות של Twitter מבלי לדעת זאת, על פי סזאר צ'רודו, קצין הטכנולוגיה הראשי של חברת הייעוץ הביטחוני IOActive.

הבעיה היא תוצאה של ליקוי בממשק ה- API של טוויטר (ממשק תכנות יישומים) שהוביל למשתמשים שלא קיבלו מידע הולם על ההרשאות שיש ליישומים ב- accou שלהם nts פעם ניתנה גישה. Cerrudo תיאר את הבעיה והסביר איך הוא גילה את זה בבלוג פוסט שפורסם ביום שלישי.

יישומים המאפשרים למשתמשים להיכנס עם חשבונות טוויטר שלהם צריך להיות רשום עם טוויטר ב //dev.twitter.com/apps. במהלך ההרשמה, היזמים שלהם צריכים להכריז על רמת הגישה של היישומים בחשבונות של אנשים: "לקריאה בלבד", "קריאה וכתיבה" או "קריאה, כתיבה וגישה להודעות ישירות". [

[קריאה נוספת: כיצד כדי להסיר תוכנות זדוניות ממחשב Windows שלך]

כאשר משתמשים מנסים להיכנס ליישום כזה בפעם הראשונה באמצעות חשבונות Twitter שלהם, הם מפנים מחדש לדף הרשאה באתר האינטרנט של Twitter שמפרט את ההרשאות הנדרשות על ידי היישום המסוים.

Cerrudo אמר כי הוא גילה את הבעיה בזמן שהוא בודק יישום שפותח על ידי חבר שיש לו "קריאה, כתיבה וגישה להודעות ישירות" הרשאה עם טוויטר.

כאשר הוא חתם לראשונה לתוך היישום עם Twitter שלו, הוא הופנה לדף אישור שהודיע ​​לו שהיישום יוכל לקרוא טוויטים מתוך ציר הזמן שלו, לראות אילו משתמשים הוא עוקב אחריהם, לעקוב אחר משתמשים חדשים בשמו, לעדכן את הפרופיל שלו אורמטיון ופוסט טוויטים בשמו, אמר. הדף ציין בבירור כי היישום לא יוכל לגשת להודעות הישירות או לסיסמה של החשבון.

"לאחר הצגת דף האינטרנט המוצג, אני סומך ש- Twitter לא ייתן ליישום גישה לסיסמה שלי ולהודעות הישירות", הוא אומר. כתב בבלוג. "הרגשתי שהחשבון שלי בטוח, אז נכנסתי למשחק ושיחקתי עם האפליקציה."

החוקר הבחין כי היישום היה פונקציונלי לגשת ולהציג הודעות ישירות, אבל התכונה לא נראה עובד. זה היה הגיוני, כי הוא לא התבקש לתת את ההרשאה.

עם זאת, לאחר כניסה ויציאה של היישום וטוויטר כמה פעמים, ההודעות הישירות שלו התחיל להופיע ביישום. כאשר בודקים את רשימת היישומים המורשים לקיים אינטראקציה עם החשבון שלו בטוויטר (הגדרות> Apps) הוא שם לב כי היישום אכן יש לקרוא, לכתוב ולגשת הרשאות ישירות.

"הבנתי שזה היה אבטחה ענק חור, "אמר Cerrudo.

החוקר אישר יום שלישי כי הוא בהצלחה לשכפל את ההתנהגות מספר פעמים על ידי ביטול גישה לאפליקציה ועובר את תהליך האישור שוב מבלי להיות הזהיר כי האפליקציה תהיה מסוגלת לקרוא את ההודעות הפרטיות שלו. הסוגיה דווחה על טוויטר ב -16 בינואר ונפנתה תוך פחות מ -24 שעות, אמר.

"הם אמרו שהבעיה התרחשה עקב קוד מורכב והנחות לא נכונות ואימותים", אמר Cerrudo בפוסט בבלוג.

עם זאת, תיקון של Twitter לא נראה להחיל רטרואקטיבית. לאחר טוויטר קבע את הבעיה, האפליקציה Cerrudo בדקה כי כבר יש גישה לחשבון שלו המשיך להציג הודעות ישירות למרות שלא קיבל אישור ממנו לעשות זאת, אמר.

משתמשי טוויטר צריכים לבדוק אם כל האפליקציות שאושרו בעבר גם זכו לגישה למסרים הישירים שלהם ללא ידיעתם, אמר Cerrudo. ניתן לעשות זאת על ידי עיון בהרשאות שלהם בדף 'הגדרות Twitter'> 'אפליקציות'.

Cerrudo החליטה לפרסם את הבעיה הזו משום שהיא יכולה להיות בעלת השלכות חמורות, שכן טוויטר לא פרסם מודעה ציבורית או הודעה על כך. החברה צריכה לשמור על דף ייעודי שבו הוא יכול להודיע ​​למשתמשים על בעיות אבטחה, הוא אמר.

Twitter לא להגיב מיד לבקשה להערה.