Video: He Won, I WON - Trump's Busy Twitter Weekend (Oktober 2024)
En sikkerhetsforsker avdekket en feil i Twitters kode som kan ha ført til at noen tredjepartsapplikasjoner fikk tilgang til private direktemeldinger uten brukerens uttrykkelige godkjenning.
Mange nettapplikasjoner lar brukere logge på ved å bruke Twitter- og Facebook-kontoene sine i stedet for å opprette enda en konto. Det er praktisk for brukere og applikasjonsutviklere å få tilgang til brukerdata som er lagret på det sosiale nettverkstedet. Cesar Cerrudo, en sikkerhetsforsker med IOActive, snublet over en feil der disse applikasjonene kunne ende opp med høyere tilgangsnivåer enn de burde ha hatt.
I et innlegg på IOActive Labs Research-bloggen beskrev Cerrudo hvordan han testet et nettapplikasjon (fremdeles under utvikling) som tillot brukere å logge seg på med Twitter eller Facebook. På "Logg på" -siden så Cerrudo at applikasjonen ville kunne se de offentlige tweetsene hans, legge ut på kontoen hans, se følgene hans, følge nye mennesker og gjøre endringer i profilen. Siden uttalte også eksplisitt at applikasjonen ikke ville ha tilgang til direktemeldinger eller passord.
"Etter å ha sett den viste websiden, stolte jeg på at Twitter ikke ville gi applikasjonen tilgang til passordet mitt og direktemeldinger. Jeg følte at kontoen min var trygg, så jeg logget på og spilte med applikasjonen, " skrev Cerrudo.
Endre tillatelsesnivåer
Applikasjonen hadde faktisk muligheten til å vise direkte meldinger, men Twitter blokkerte applikasjonen fra å utføre disse handlingene fordi den bare hadde "lese, skrive" tillatelser, sa Cerrudo. Hvis applikasjonen ønsket å vise de private meldingene, må applikasjonen be om det høyere tilgangsnivået via en "Autoriser app" -side.
Etter å ha logget seg inn og ut av applikasjonen og Twitter noen ganger, begynte imidlertid applikasjonen å vise direktemeldinger hans. Cerrudo sjekket applikasjonens innstilling og så at den plutselig hadde "leste, skrive og se direktemeldinger" -tillatelser, sa Cerrudo. Han hevdet at han aldri så autoriseringssiden.
"Det gjorde det uten å ha autorisasjon, og Twitter viste ingen meldinger om dette. Det var et enkelt bypass-triks for tredjepartsapplikasjoner for å få tilgang til en brukers Twitter-direktemeldinger, " skrev Cerrudo.
Cerrudo kunne ikke finne ut hvorfor dette skjedde og varslet Twitter. Sikkerhetsgruppen svarte raskt og lukket problemet, så applikasjoner skal ikke lenger være vilkårlige og få økte privilegier. Å fikse feilen betyr ikke at noen av programmene som klarte å omgå Twitter's sikkerhetsinnstillinger ble tilbakestilt til de opprinnelige tillatelsesnivåene.
"Etter sikkerhetsrettingen hadde applikasjonen jeg testet fremdeles tilgang til direktemeldinger til jeg opphevet den, " skrev Cerrudo.
Sjekk applikasjonene dine
Du bør periodisk revidere listen over applikasjoner som har tillatelse til å få tilgang til Twitter- og Facebook-kontoene dine for å sikre at det ikke er noen uventede overraskelser. Kontroller at alle applikasjonene som er autoriserte er applikasjoner du har lagt til, og som fremdeles trenger. Slipp alt du ikke bruker lenger. Sjekk også tillatelsesnivåene for å forsikre deg om at innstillingene er passende.
På Twitter kan du klikke på tannhjulikonet ved siden av søkefeltet øverst på skjermen og velge Innstillinger. Etter å ha valgt til Apps (på venstre side av skjermen), vil du se alle appene som har tilgang til kontoen din, og når den ble lagt til. Tillatelsesnivåene er oppført rett under applikasjonsnavnet. Hvis noen av dem ikke skulle være på listen, klikker du på "Tilbakekall tilgang" -knappen.
På Facebook kan du klikke på tannhjulikonet øverst til høyre på skjermen og velge Kontoinnstillinger. Når du har valgt til Apps (på venstre side av skjermen), vil du se alle applikasjoner, spill, plugins og nettsteder som har tilgang til kontoen din, sammen med tillatelsesnivåene. Du kan klikke på Rediger for å justere tillatelsene eller "x" for å fjerne det helt.
Det tar bare noen få minutter, men det er verdt å sikre at tredjepartsapper ikke tar tak i dine personlige data.
