Videó: 'Sometimes Your Heart Hurts': TXT Answer Your Stan Tweets & It's Adorable (November 2024)
Egy biztonsági kutató egy hibát fedezett fel a Twitter kódjában, amelynek eredményeként egyes harmadik féltől származó alkalmazások a felhasználó kifejezett jóváhagyása nélkül férhetnek hozzá a közvetlen privát üzenetekhez.
Számos webalkalmazás lehetővé teszi a felhasználók számára, hogy Twitter és Facebook fiókjukkal jelentkezzenek be, ahelyett, hogy újabb fiókot hoznának létre. A felhasználók és az alkalmazásfejlesztők számára kényelmes hozzáférést biztosítanak a közösségi hálózati oldalon tárolt felhasználói adatokhoz. Cesar Cerrudo, az IOActive biztonsági kutatója olyan hibára bukkant fel, amelyben ezek az alkalmazások magasabb szintű hozzáféréssel jelentkezhetnek, mint amennyire kellett volna.
Az IOActive Labs Research blog bejegyzésében Cerrudo ismertette, hogyan teszteli egy (még fejlesztés alatt álló) webes alkalmazást, amely lehetővé tette a felhasználók számára, hogy bejelentkezzenek a Twitter vagy a Facebook segítségével. A "Bejelentkezés" oldalon Cerrudo látta, hogy az alkalmazás képes lesz megtekinteni nyilvános tweetjeit, feladni a fiókján, látni követőit, követni új embereket és módosítani a profilt. Az oldal kifejezetten kijelentette, hogy az alkalmazásnak nincs hozzáférése közvetlen üzenetéhez vagy jelszavához.
"Miután megtekintettem a megjelenített weboldalt, bíztam abban, hogy a Twitter nem ad hozzáférést az alkalmazáshoz a jelszavamhoz és a közvetlen üzenetekhez. Úgy éreztem, hogy a számlám biztonságban van, ezért bejelentkeztem és játszottam az alkalmazással" - írta Cerrudo.
Engedélyszintek megváltoztatása
Az alkalmazás valóban képes volt a közvetlen üzenetek megjelenítésére, de a Twitter megakadályozta az alkalmazást abban, hogy sikeresen végrehajthassa ezeket a műveleteket, mivel csak „olvasási, írási” engedélyekkel rendelkezik - mondta Cerrudo. Ha az alkalmazás a privát üzeneteket szeretné megjeleníteni, akkor az alkalmazásnak az "Alkalmazás engedélyezése" oldalon kell kérnie a magasabb szintű hozzáférést.
Az alkalmazásból és a Twitterből való néhány be- és kijelentkezés után azonban az alkalmazás elkezdte megjeleníteni a közvetlen üzenetét. Cerrudo ellenőrizte az alkalmazás beállítását, és látta, hogy hirtelen "olvasni, írni és látni a közvetlen üzeneteket" jogosult - mondta Cerrudo. Azt állította, hogy soha nem látta az Alkalmazás engedélyezése oldalt.
"Engedély nélkül meg is tette, és a Twitter nem jelenített meg ezzel kapcsolatos üzenetet. Ez egy egyszerű bypass trükk volt harmadik féltől származó alkalmazások számára a felhasználó Twitter közvetlen üzenetéhez való hozzáféréshez" - írta Cerrudo.
Cerrudo nem tudta kitalálni, miért történt ez, és értesítette a Twitter-et. A biztonsági csapat azonnal reagált és lezárta a kérdést, tehát az alkalmazásoknak nem szabad önkényesen megnövelt jogosultságokat szerezni. A hiba elhárítása azonban nem jelenti azt, hogy a Twitter biztonsági beállításait megkerülni képes alkalmazásokat az eredeti engedélyszintre állították vissza.
"A biztonsági javítás után az általam tesztelt alkalmazás továbbra is hozzáférött a közvetlen üzenetekhez, amíg vissza nem vontam" - írta Cerrudo.
Ellenőrizze az alkalmazásokat
Rendszeresen ellenőrizze azon alkalmazások listáját, amelyek jogosultak hozzáférni a Twitter és a Facebook fiókokhoz, hogy megbizonyosodjon arról, hogy nem várnak-e váratlan meglepetéseket. Ellenőrizze, hogy minden engedélyezett alkalmazás az Ön által hozzáadott alkalmazás, és továbbra is szükséges. Dobjon el minden, amit már nem használ. Ezenkívül ellenőrizze az engedélyszinteket, hogy megbizonyosodjon arról, hogy a beállítások megfelelőek-e.
A Twitter-en rákattinthat a fogaskerekek ikonra a képernyő tetején található keresőmező mellett, és kiválaszthatja a Beállítások lehetőséget. Miután kiválasztotta az Alkalmazások menüpontot (a képernyő bal oldalán), látni fogja az összes alkalmazást, amely hozzáféréssel rendelkezik a fiókjához, és mikor került hozzá. Az engedélyszinteket közvetlenül az alkalmazás neve alatt soroljuk fel. Ha egyikük sem szerepel a listán, kattintson a "Hozzáférés visszavonása" gombra.
A Facebookon rákattinthat a fogaskerekek ikonra a képernyő jobb felső sarkában, és kiválaszthatja a Fiókbeállítások lehetőséget. Miután kiválasztotta az Alkalmazások menüpontot (a képernyő bal oldalán), látni fogja az összes alkalmazást, játékot, beépülő modult és webhelyet, amelyek hozzáférnek a fiókjához, valamint az engedélyszinteket. Kattintson a Szerkesztés gombra az engedélyek beállításához, vagy az "x" gombra az egész eltávolításához.
Alig néhány percig tart, de érdemes biztosítani, hogy a harmadik féltől származó alkalmazások ne ragadják meg személyes adatait.
