Video: exposing my old tweets + twitter before anyone else finds them (Listopad 2024)
Výzkumník v oblasti bezpečnosti odhalil chybu v kódu Twitter, která mohla mít za následek, že některé aplikace třetích stran získaly přístup k soukromým přímým zprávám bez výslovného souhlasu uživatele.
Mnoho webových aplikací umožňuje uživatelům přihlásit se pomocí svých účtů Twitter a Facebook namísto vytvoření dalšího účtu. Je to výhodné pro uživatele a vývojáře aplikací, kteří mají přístup k uživatelským datům uloženým na webu sociálních sítí. Cesar Cerrudo, výzkumný pracovník v oblasti bezpečnosti s IOActive, narazil na chybu, ve které by tyto aplikace mohly skončit s vyšší úrovní přístupu, než by měly mít.
V příspěvku na blogu IOActive Labs Research Cerrudo popsal, jak testuje webovou aplikaci (stále se vyvíjí), která uživatelům umožňovala přihlášení pomocí Twitteru nebo Facebooku. Na stránce „Přihlásit se“ Cerrudo viděl, že aplikace si bude moci prohlížet své veřejné tweety, zveřejňovat příspěvky na jeho účtu, sledovat své sledovatele, sledovat nové lidi a provádět změny v profilu. Stránka také výslovně uvedla, že aplikace nebude mít přístup k jeho přímým zprávám nebo heslu.
"Po prohlížení zobrazené webové stránky jsem věřil, že Twitter nedovolí aplikaci přístup k mému heslu a přímým zprávám. Cítil jsem, že můj účet je v bezpečí, tak jsem se přihlásil a hrál s aplikací, " napsal Cerrudo.
Změna úrovní povolení
Aplikace ve skutečnosti měla schopnost zobrazovat přímé zprávy, ale Twitter zablokoval aplikaci v úspěšném provedení těchto akcí, protože měla pouze oprávnění „číst, psát“, řekl Cerrudo. Pokud by aplikace chtěla zobrazit soukromé zprávy, musela by požádat o vyšší úroveň přístupu prostřednictvím stránky „Autorizovat aplikaci“.
Po několika přihlášeních a odhlášení z aplikace a Twitteru však aplikace začala zobrazovat své přímé zprávy. Cerrudo zkontroloval nastavení aplikace a viděl, že náhle měla oprávnění „číst, psát a vidět přímé zprávy“, řekl Cerrudo. Tvrdil, že nikdy neviděl stránku aplikace Autorizovat.
„Udělal to bez povolení a Twitter o tom nevykazoval žádné zprávy. Pro aplikace třetích stran bylo jednoduchým trikem obejít získat přístup k přímým zprávám uživatele Twitter, “ napsal Cerrudo.
Cerrudo nemohl přijít na to, proč se to stalo a oznámil Twitter. Bezpečnostní tým okamžitě zareagoval a problém uzavřel, takže aplikace by již neměly být svévolné a získávat zvýšená oprávnění. Oprava chyby však neznamená, že všechny aplikace, kterým se podařilo obejít nastavení zabezpečení Twitteru, byly obnoveny na původní úroveň oprávnění.
„Po opravě zabezpečení měla aplikace, kterou jsem testoval, stále přístup k přímým zprávám, dokud jsem ji neodvolala, “ napsal Cerrudo.
Zkontrolujte své aplikace
Seznam aplikací, které mají oprávnění pro přístup k účtům Twitter a Facebook, byste měli pravidelně auditovat, abyste se ujistili, že neexistují žádná neočekávaná překvapení. Zkontrolujte, zda všechny schválené aplikace jsou aplikace, které jste přidali a stále potřebujete. Zahoďte vše, co už nepoužíváte. Zkontrolujte také úrovně oprávnění a ujistěte se, že jsou nastavení vhodná.
Na Twitteru můžete kliknout na ikonu ozubeného kola vedle vyhledávacího pole v horní části obrazovky a vybrat Nastavení. Po výběru položky Aplikace (na levé straně obrazovky) uvidíte všechny aplikace, které mají přístup k vašemu účtu a kdy byl přidán. Úrovně oprávnění jsou uvedeny těsně pod názvem aplikace. Pokud by některý z nich neměl být na seznamu, klikněte na tlačítko „Zrušit přístup“.
Na Facebooku můžete kliknout na ikonu ozubeného kola v pravém horním rohu obrazovky a vybrat Nastavení účtu. Po výběru položky Aplikace (na levé straně obrazovky) uvidíte všechny aplikace, hry, doplňky a weby, které mají přístup k vašemu účtu, spolu s úrovněmi oprávnění. Chcete-li upravit oprávnění, klikněte na Upravit. Chcete-li oprávnění zcela odstranit, klikněte na "x".
Zabere to jen několik minut, ale stojí za to zajistit, aby aplikace třetích stran nezachytily vaše osobní údaje.
