Tutkija: Twitter-virhe antoi kolmannen osapuolen sovelluksille luvattoman pääsyn yksityisiin viesteihin

Käyttäjät, jotka ovat allekirjoittaneet kolmannen osapuolen Web- tai mobiilisovellukset, jotka käyttävät Twitter-tilejä, saattavat antaa näille sovelluksille pääsyn Twitterin yksityisiin "suoriin" viesteihin tietämättä sitä, turvallisuusneuvonantaja IOActivein tietotekniikan päällikkö Cesar Cerrudo.

Asia on seurausta Twitterin sovellusrajapinnassa (API), joka johti siihen, että käyttäjille ei ole asianmukaista tietoa siitä, mitä käyttöoikeuksia sovellus on nts kerran myöntänyt pääsyn. Cerrudo kuvaili ongelman ja selitti, miten hän löysi sen blogipostissa, joka julkaistiin tiistaina.

Sovellukset, joiden avulla käyttäjät voivat kirjautua sisään Twitter-tileilläan, on rekisteröitävä Twitterissä osoitteessa //dev.twitter.com/apps. Rekisteröinnin aikana niiden kehittäjien on ilmoitettava, kuinka paljon sovelluksia on saatavana ihmisten tileillä: "lukea vain", "lukea ja kirjoittaa" tai "lukea, kirjoittaa ja käyttää suoria viestejä."

[Lue lisää: Miten poistaa haittaohjelmat Windows-tietokoneelta]

Kun käyttäjät yrittävät kirjautua tällaiseen sovellukseen ensimmäisen kerran käyttämällä Twitter-tilejä, heidät ohjataan Twitter-sivuston valtuutussivulle, jossa luetellaan kyseisen sovelluksen pyytämät käyttöoikeudet.

Cerrudo sanoi, että hän löysi ongelman, kun hän testasi sovellusta, jonka kehitti ystävä, jolla oli "lukea, kirjoittaa ja käyttää suoria viestejä" -lisenssi Twitterissä.

Kun hän allekirjoitti ensimmäisen kerran sovelluksen kimppuunsa hänet ohjasi valtuutussivulle, joka ilmoitti hänelle, että hakemus pystyy lukemaan tweetejä aikajanastaan, katsomaan, mitä seuraajia hän seuraa, seuraamaan uusia käyttäjiään, päivittämään profiilinsa inf Ormation ja postitse tweets hänen puolestaan, hän sanoi. Sivu selkeästi huomautti, että sovellus ei pysty käyttämään suoria viestejä tai tilin salasanaa.

"Kun katselin näytettyä verkkosivua, luotin, että Twitter ei antaisi sovellukselle pääsyä salasanaan ja suoraviesteihin", hän kirjoitti blogissa. "Tunnin, että tilini oli turvallinen, joten allekirjoitin ja pelasin sovelluksen kanssa."

Tutkija huomasi, että sovelluksella oli toimintoja, joilla pääsi katsomaan ja näyttämään suoria viestejä, mutta ominaisuus ei näyttänyt toimivan. Tämä oli järkevää, koska häneltä ei ollut pyydetty lupaa.

Sen jälkeen, kun kirjaudut sisään ja ulos hakemuksesta ja Twitter muutaman kerran, hänen suorat viestit alkoivat näkyä sovelluksessa. Kun tarkkailtiin luetteloa sovelluksista, jotka saivat olla vuorovaikutuksessa hänen Twitter-tiliinsä (Asetukset> Sovellukset), hän huomasi, että sovelluksella oli itse asiassa luku-, kirjoitus- ja käyttöoikeus suoraviestimille.

"Huomasin, että tämä oli valtava tietoturva reikä ", Cerrudo totesi.

Tutkija vahvisti tiistaina, että hän onnistui toistamaan käyttäytymisensä useita kertoja poistamalla sovelluksen käytön ja lupamenettelyn uudelleen ilman varoitusta siitä, että sovellus voisi lukea hänen yksityisiä viestejä.

"He sanoivat, että ongelma johtui monimutkaisista koodeista ja virheellisistä oletuksista ja validoinnista," Cerrudo sanoi blogikirjoituksessa.

Twitterin korjaus ei kuitenkaan vaikuta takautuvasti. Kun Twitter vahvisti ongelman, Cerrudo-sovellus testaa, että hänellä oli jo pääsy tiliään, näytti edelleen suoria viestejä huolimatta siitä, että hän ei koskaan saanut lupaa tehdä niin, hän sanoi.

Twitterin käyttäjien pitäisi tarkistaa, onko jokin aikaisemmin hyväksytyistä sovelluksista myös päässyt suoraan sanomistaan ​​ilman heidän tietämystään, Cerrudo sanoi. Tämä voidaan tehdä tarkastelemalla heidän oikeuksiaan Twitter Settings> Apps -sivulla.

Cerrudo päätti julkaista tämän ongelman, koska sillä voi olla vakavia seurauksia ja koska Twitter ei julkaissut julkista neuvontaa tai ilmoitusta.

Twitter ei vastannut välittömästi pyyntöön kommentoida.