Video: Alyssa Milano Makes Her BIGGEST OOPSIE Mistake YET on Twitter! (September 2024)
En säkerhetsforskare avslöjade ett fel i Twitters kod som kan ha lett till att vissa tredjepartsapplikationer har fått tillgång till privata direktmeddelanden utan användarens uttryckliga godkännande.
Många webbapplikationer tillåter användare att logga in med sina Twitter- och Facebook-konton istället för att skapa ännu ett konto. Det är bekvämt för användare och applikationsutvecklare kan komma åt användardata lagrade på det sociala nätverkssidan. Cesar Cerrudo, en säkerhetsforskare med IOActive, snubblat över en brist i vilken dessa applikationer kan avvecklas med högre åtkomstnivåer än de borde ha.
I ett inlägg på IOActive Labs Research-bloggen beskrev Cerrudo hur han testade en webbapplikation (fortfarande under utveckling) som gjorde det möjligt för användare att logga in med Twitter eller Facebook. På sidan "Logga in" såg Cerrudo att applikationen skulle kunna se hans offentliga tweets, posta på hans konto, se hans följare, följa nya människor och göra ändringar i profilen. På sidan anges också uttryckligen att applikationen inte skulle ha tillgång till hans direktmeddelanden eller hans lösenord.
"Efter att ha visat den visade webbsidan litade jag på att Twitter inte skulle ge applikationen tillgång till mitt lösenord och direktmeddelanden. Jag kände att mitt konto var säkert, så jag logga in och spelade med applikationen, " skrev Cerrudo.
Ändra behörighetsnivåer
Programmet hade faktiskt förmågan att visa direktmeddelanden, men Twitter blockerade applikationen från att framgångsrikt utföra dessa åtgärder eftersom den bara hade "läs, skriv" behörigheter, sa Cerrudo. Om applikationen ville visa de privata meddelandena, måste applikationen begära högre åtkomstnivå via en "Autorisera-app" -sida.
Men efter att ha loggat in och ut från applikationen och Twitter några gånger började applikationen visa sina direktmeddelanden. Cerrudo kontrollerade applikationens inställning och såg att det plötsligt hade "läst, skriv och se direktmeddelanden" behörigheter, sa Cerrudo. Han hävdade att han aldrig såg sidan för godkännande-appen.
"Det gjorde det utan att ha behörighet, och Twitter visade inga meddelanden om detta. Det var ett enkelt bypass-trick för tredjepartsapplikationer för att få tillgång till en användares Twitter-direktmeddelanden, " skrev Cerrudo.
Cerrudo kunde inte ta reda på varför detta hände och meddelade Twitter. Säkerhetsteamet svarade snabbt och stängde problemet, så applikationer bör inte längre vara godtyckliga och få ökade privilegier. Att fixa felet betyder emellertid inte att någon av applikationerna som lyckades kringgå Twitter: s säkerhetsinställningar återställdes till de ursprungliga behörighetsnivåerna.
"Efter säkerhetsfixen hade applikationen som jag testade fortfarande tillgång till direktmeddelanden tills jag återkallade den, " skrev Cerrudo.
Kontrollera dina applikationer
Du bör regelbundet granska listan över applikationer som har tillåtelse att få åtkomst till dina Twitter- och Facebook-konton för att se till att det inte finns några oväntade överraskningar. Kontrollera att alla applikationer som är auktoriserade är program som du har lagt till och fortfarande behöver. Släpp allt du inte använder längre. Kontrollera också behörighetsnivåerna för att se till att inställningarna är lämpliga.
På Twitter kan du klicka på kugghjulsikonen bredvid sökrutan högst upp på skärmen och välja Inställningar. När du har valt till Apps (på vänster sida av skärmen) ser du alla appar som har tillgång till ditt konto och när det lades till. Behörighetsnivåerna listas precis under applikationsnamnet. Om någon av dem inte ska finnas på listan, klicka på "Återkalla åtkomst" -knappen.
På Facebook kan du klicka på kugghjulsikonen längst upp till höger på skärmen och välja Kontoinställningar. När du har valt till Apps (på vänster sida av skärmen) ser du alla applikationer, spel, plugins och webbplatser som har åtkomst till ditt konto, tillsammans med behörighetsnivåerna. Du kan klicka på Redigera för att justera behörigheterna eller på "x" för att ta bort det helt.
Det tar bara några minuter, men det är värt att se till att tredjepartsappar inte tar tag i dina personuppgifter.
