Cercetător: defectul Twitter a dat acces neautorizat aplicațiilor terță parte la mesaje private

Utilizatorii care au semnat un contract terț Aplicațiile web sau mobile care utilizează conturile lor Twitter ar fi permis accesul acestor aplicații la mesajele "directe" private ale Twitter, fără a le cunoaște, potrivit Cesar Cerrudo, șef de tehnologie al firmei de consultanță pentru securitate IOActive.

Problema este rezultatul un defect în API-ul Twitter (interfață de programare a aplicațiilor), care a dus la faptul că utilizatorii nu au fost informați corespunzător cu privire la permisiunile pe care o aplicație le va avea asupra lor nts o dată acordat accesul. Cerrudo a descris problema și a explicat cum a descoperit-o într-un blog publicat marți.

Aplicațiile care permit utilizatorilor să se conecteze cu conturile Twitter trebuie să fie înregistrate pe Twitter la //dev.twitter.com/apps. În timpul înregistrării, dezvoltatorii lor trebuie să declare nivelul accesului pe care aplicațiile îl vor avea în conturile oamenilor: "numai citire", "citire și scriere" sau "citire, scriere și acces la mesaje directe."

pentru a elimina programele malware de pe computerul dvs. Windows

Când utilizatorii încearcă să se conecteze într-o astfel de aplicație pentru prima dată utilizând conturile lor Twitter, aceștia sunt redirecționați către o pagină de autorizare pe site-ul Twitter care afișează permisiunile solicitate de aplicația respectivă.

Cerrudo a spus că a descoperit problema în timp ce testa o aplicație dezvoltată de un prieten care a avut permisiunea "citiți, scrieți și accesați mesajele directe" declarate cu Twitter.

Când a semnat prima dată în cerere cu Twitter, el a fost redirecționat către o pagină de autorizare care ia informat că aplicația va putea citi mesajele tweet de pe cronologie, va vedea utilizatorii pe care îi urmează, va urma utilizatorii noi în numele său, va actualiza profilul inf și a post-tweets în numele său, a spus el. Pagina a notat în mod clar că aplicația nu va putea accesa mesajele directe sau parola contului.

"După ce am vizualizat pagina web afișată, am crezut că Twitter nu ar da accesul la parolă și mesaje directe", a spus el a scris pe blog. "Am simțit că contul meu a fost în siguranță, așa că am semnat și am jucat cu aplicația."

Cercetătorul a observat că aplicația are funcționalitate pentru a accesa și a afișa mesaje directe, dar caracteristica nu pare să funcționeze. Acest lucru a avut sens pentru că nu i sa cerut permisiunea.

Cu toate acestea, după ce ați semnat și s-au scos din aplicație și Twitter de câteva ori, mesajele sale directe au început să apară în aplicație. La verificarea listei de aplicații autorizate să interacționeze cu contul său Twitter (Setări> Aplicații), el a observat că aplicația a avut de fapt permisiuni de citire, scriere și accesare a mesajelor directe.

"Mi-am dat seama că a fost o mare securitate "cercetătorul a confirmat marți că a reprodus succesiv comportamentul de mai multe ori prin revocarea accesului la aplicație și trecerea din nou în procesul de autorizare fără a fi avertizat că aplicația va putea să-și citească mesajele private. Problema a fost raportată Twitter pe 16 ianuarie și a fost adresată în mai puțin de 24 de ore, a spus el.

"Ei au spus că problema a apărut din cauza codului complex și a ipotezelor și validărilor incorecte", a declarat Cerrudo în postul de blog.

Totuși, soluția Twitter nu pare să se aplice retroactiv. După ce Twitter a rezolvat problema, aplicația Cerrudo testează faptul că deja a avut acces la contul său a continuat să afișeze mesaje directe, în ciuda faptului că niciodată nu a primit autorizarea de la el pentru a face acest lucru, a spus el.

Utilizatorii Twitter ar trebui să verifice dacă oricare dintre aplicațiile pe care le-au autorizat în trecut au obținut, de asemenea, acces la mesajele lor directe fără cunoștințele lor, a spus Cerrudo. Acest lucru se poate face examinând permisiunile pe pagina Setări Twitter> Aplicații.

Cerrudo a decis să facă această problemă publică, deoarece poate avea implicații grave și deoarece Twitter nu a emis un aviz public sau un anunț despre acest lucru. Compania ar trebui să mențină o pagină dedicată în care să informeze utilizatorii despre problemele de securitate, a spus el

Twitter nu a răspuns imediat la o solicitare de comentariu