Badacz: usterka Twittera dała aplikacjom innych firm nieautoryzowany dostęp do prywatnych wiadomości

Użytkownicy, którzy podpisali umowę z firmą zewnętrzną Aplikacje internetowe lub mobilne korzystające ze swoich kont na Twitterze mogły dać tym aplikacjom dostęp do swoich prywatnych "bezpośrednich" wiadomości na Twitterze, nie wiedząc o tym, według Cesara Cerrudo, głównego technologa firmy doradczej ds. Bezpieczeństwa IOActive.

Problem jest wynikiem błąd API Twittera (interfejs programowania aplikacji), który doprowadził do tego, że użytkownicy nie byli właściwie poinformowani o tym, jakie uprawnienia aplikacja będzie miała na ich rachunku raz przyznano dostęp. Cerrudo opisał problem i wyjaśnił, jak to odkrył we wpisie opublikowanym we wtorek.

Aplikacje, które pozwalają użytkownikom logować się na swoich kontach na Twitterze muszą być zarejestrowane na Twitterze na //dev.twitter.com/apps. Podczas rejestracji ich twórcy muszą zadeklarować poziom dostępu aplikacji do kont użytkowników: "tylko do odczytu", "czytaj i pisz" lub "czytaj, pisz i uzyskuj dostęp do bezpośrednich wiadomości".

[Czytaj dalej: Jak w celu usunięcia złośliwego oprogramowania z komputera z systemem Windows]

Kiedy użytkownicy próbują zalogować się do takiej aplikacji po raz pierwszy przy użyciu swoich kont na Twitterze, zostają przekierowani na stronę autoryzacji w witrynie Twitter, która zawiera listę uprawnień wymaganych przez daną aplikację.

Cerrudo oświadczył, że odkrył problem podczas testowania aplikacji opracowanej przez znajomego, który otrzymał pozwolenie na "czytanie, pisanie i dostęp do bezpośrednich wiadomości" ogłoszone na Twitterze.

Kiedy po raz pierwszy zalogował się do aplikacji za pomocą Twittera konto, został przekierowany na stronę autoryzacji, która poinformowała go, że aplikacja będzie mogła odczytać tweety z osi czasu, zobaczyć, którymi z użytkowników się podąża, śledzić nowych użytkowników w jego imieniu, aktualizować swój profil inf ormation i post tweet w jego imieniu, powiedział. Strona wyraźnie zaznaczyła, że ​​aplikacja nie będzie mogła uzyskać dostępu do bezpośrednich wiadomości ani hasła do konta.

"Po przejrzeniu wyświetlanej strony internetowej ufałem, że Twitter nie dałby aplikacji dostępu do mojego hasła i bezpośrednich wiadomości", napisał na blogu. "Czułem, że moje konto jest bezpieczne, więc zalogowałem się i grałem z aplikacją."

Badacz zauważył, że aplikacja ma funkcjonalność do uzyskiwania dostępu i wyświetlania bezpośrednich wiadomości, ale funkcja nie działa. Miało to sens, ponieważ nie poproszono go o przyznanie tego pozwolenia.

Jednak po kilkukrotnym zalogowaniu się i wycofaniu aplikacji i Twittera jego bezpośrednie wiadomości zaczęły pojawiać się w aplikacji. Sprawdzając listę aplikacji autoryzowanych do współdziałania z jego kontem na Twitterze (Ustawienia> Aplikacje) zauważył, że aplikacja faktycznie posiada uprawnienia do odczytu i zapisu wiadomości bezpośrednich.

"Zdałem sobie sprawę, że to było ogromne bezpieczeństwo - powiedział Cerrudo.

Naukowiec potwierdził we wtorek, że udało mu się kilkakrotnie powtórzyć to zachowanie, cofając dostęp do aplikacji i ponownie przechodząc proces autoryzacji bez ostrzeżenia, że ​​aplikacja będzie mogła odczytać jego prywatne wiadomości. Kwestia została zgłoszona do Twittera 16 stycznia i powiedział, że zajął mniej niż 24 godziny.

"Powiedzieli, że problem pojawił się z powodu skomplikowanego kodu oraz błędnych założeń i walidacji," powiedział Cerrudo w poście na blogu.

Poprawka na Twitterze nie wydaje się jednak działać wstecz. Po tym, jak Twitter naprawił problem, aplikacja Cerrudo testowała, że ​​już miała dostęp do swojego konta, nadal wyświetlała bezpośrednie wiadomości, mimo że nigdy nie otrzymała od niego upoważnienia, powiedział.

Użytkownicy Twittera powinni sprawdzić, czy jakakolwiek aplikacja, którą autoryzowali w przeszłości, również uzyskała dostęp do swoich bezpośrednich wiadomości bez ich wiedzy - powiedział Cerrudo. Można to zrobić, przeglądając ich uprawnienia na stronie Ustawienia Twitter> Aplikacje.

Firma Cerrudo postanowiła upublicznić ten problem, ponieważ może to mieć poważne konsekwencje i dlatego, że Twitter nie wydał publicznego powiadomienia lub ogłoszenia o tym. Firma powinna utrzymywać dedykowaną stronę, na której może informować użytkowników o problemach bezpieczeństwa, powiedział.

Twitter nie odpowiedział natychmiast na prośbę o komentarz.