Исследователь: недостаток Twitter предоставил сторонним приложениям несанкционированный доступ к закрытым сообщениям

Пользователи, которые подписали контракт с сторонними Веб-или мобильные приложения, использующие свои учетные записи в Twitter, могли бы предоставить этим приложениям доступ к своим «прямым» сообщениям Twitter, не зная об этом, по словам Cesar Cerrudo, главного технологического сотрудника консалтинговой фирмы по безопасности IOActive.

Проблема заключается в результате недостаток в API-интерфейсе Twitter (интерфейс прикладного программирования), который привел к тому, что пользователи не были должным образом проинформированы о том, какие разрешения приложения будут иметь на их accou nts после предоставления доступа. Cerrudo описал проблему и объяснил, как он обнаружил ее в опубликованном во вторник блоге.

Приложения, разрешающие пользователям входить в систему со своими учетными записями в Twitter, должны быть зарегистрированы в Twitter на странице //dev.twitter.com/apps. Во время регистрации их разработчики должны объявить уровень доступа, который приложения будут иметь к учетным записям людей: «только чтение», «чтение и запись» или «чтение, запись и доступ к прямым сообщениям».

[далее] для удаления вредоносных программ с вашего ПК с Windows]

Когда пользователи впервые пытаются подключиться к такому приложению, используя свои учетные записи в Twitter, они перенаправляются на страницу авторизации на веб-сайте Twitter, где перечислены разрешения, запрашиваемые конкретным приложением.

Cerrudo сказал, что он обнаружил проблему, когда он тестировал приложение, разработанное другом, у которого было разрешение на чтение, запись и доступ к прямым сообщениям, объявленное с помощью Twitter.

Когда он впервые подписал заявку с его Twitter он был перенаправлен на страницу авторизации, в которой сообщалось, что приложение сможет читать твиты со своей временной шкалы, видеть, какие пользователи он следует, следовать за новыми пользователями от его имени, обновлять свой профиль inf сказал он. На странице четко указано, что приложение не сможет получить доступ к прямым сообщениям или к паролю учетной записи.

«После просмотра отображаемой веб-страницы я доверял, что Twitter не даст приложению доступа к моему паролю и прямым сообщениям», - сказал он пишет в блоге. «Я чувствовал, что моя учетная запись безопасна, поэтому я подписался и сыграл с приложением».

Исследователь заметил, что приложение имеет функциональные возможности для доступа и отображения прямых сообщений, но эта функция, похоже, не работает. Это имело смысл, потому что его не просили предоставить такое разрешение.

Однако после нескольких попыток входа и выхода из приложения и Twitter его прямые сообщения начали появляться в приложении. При проверке списка приложений, разрешенных для взаимодействия со своей учетной записью Twitter (Настройки> Приложения), он заметил, что приложение действительно имеет права на чтение, запись и доступ к прямым сообщениям.

«Я понял, что это была огромная безопасность дыра ", сказал Cerrudo.

Исследователь подтвердил во вторник, что он успешно воспроизвел поведение несколько раз, отменив доступ к приложению и снова пройдя процесс авторизации, не будучи предупрежденным о том, что приложение сможет читать его личные сообщения. Вопрос был сообщен в Twitter 16 января и был рассмотрен менее чем за 24 часа, сказал он.

«Они сказали, что проблема возникла из-за сложного кода и неправильных предположений и валидаций», - сказал Керрудо в блоге.

Однако исправление в Twitter не похоже на задним числом. После того, как Twitter исправил эту проблему, приложение Cerrudo тестировало, что уже имело доступ к его аккаунту, продолжал показывать прямые сообщения, несмотря на то, что не получал от него разрешения, чтобы сделать это, сказал он.

Пользователи Twitter должны проверить, не разрешалось ли какое-либо из приложений, которые они разрешили в прошлом, получить доступ к своим прямым сообщениям без их ведома, сказал Cerrudo. Это можно сделать, просмотрев их разрешения на странице «Настройки Twitter»> «Службы».

Cerrudo решил сделать эту проблему общедоступной, поскольку она может иметь серьезные последствия и потому, что Twitter не опубликовал публичное сообщение или объявление об этом.

Twitter не сразу ответил на запрос о комментариях.