Video: Alyssa Milano Makes Her BIGGEST OOPSIE Mistake YET on Twitter! (Oktober 2024)
En sikkerhedsforsker afslørede en fejl i Twitter's kode, hvilket kan have ført til, at nogle tredjepartsapplikationer har fået adgang til private direkte beskeder uden brugerens udtrykkelige godkendelse.
Mange webapplikationer giver brugerne mulighed for at logge ind ved hjælp af deres Twitter- og Facebook-konti i stedet for at oprette endnu en konto. Det er praktisk for brugere og applikationsudviklere kan få adgang til brugerdata, der er gemt på det sociale netværkswebsted. Cesar Cerrudo, en sikkerhedsforsker med IOActive, snublede over en fejl, hvor disse applikationer kunne afslutte med højere adgangsniveauer end de burde have.
I et indlæg på IOActive Labs Research-bloggen beskrev Cerrudo, hvordan han testede en webapplikation (stadig under udvikling), som gjorde det muligt for brugere at logge ind med Twitter eller Facebook. På siden "Log ind" så Cerrudo, at applikationen ville være i stand til at se hans offentlige tweets, skrive på hans konto, se hans følgere, følge nye mennesker og foretage ændringer i profilen. På siden blev det også udtrykkeligt angivet, at applikationen ikke ville have adgang til hans direkte meddelelser eller hans adgangskode.
"Efter at have set den viste webside, stolte jeg på, at Twitter ikke ville give applikationen adgang til min adgangskode og direkte beskeder. Jeg følte, at min konto var sikker, så jeg loggede på og spillede med applikationen, " skrev Cerrudo.
Ændring af tilladelsesniveauer
Programmet havde faktisk mulighed for at vise direkte meddelelser, men Twitter blokerede applikationen for at udføre disse handlinger, fordi det kun havde tilladelserne "læse, skrive", sagde Cerrudo. Hvis applikationen ønskede at vise de private meddelelser, ville applikationen skulle anmode om det højere niveau af adgang via en "Autoriser app" -side.
Efter at have logget ind og ud af applikationen og Twitter et par gange, begyndte applikationen imidlertid at vise sine direkte beskeder. Cerrudo kontrollerede applikationens indstilling og så, at den pludselig havde "læst, skrevet og se direkte beskeder" -tilladelser, sagde Cerrudo. Han hævdede, at han aldrig har set appen Tillad app.
"Det gjorde det uden at have tilladelse, og Twitter viste ingen beskeder om dette. Det var et simpelt bypass-trick for tredjepartsapplikationer at få adgang til en brugers Twitter-direkte meddelelser, " skrev Cerrudo.
Cerrudo kunne ikke finde ud af, hvorfor dette foregik og underrettede Twitter. Sikkerhedsteamet reagerede hurtigt og lukkede problemet, så applikationer skulle ikke længere være vilkårlige og få øgede privilegier. At korrigere fejlen betyder ikke, at nogen af de applikationer, der formåede at omgå Twitter's sikkerhedsindstillinger, blev nulstillet til de oprindelige tilladelsesniveauer.
"Efter sikkerhedsrettelsen havde applikationen, jeg testede, stadig adgang til direkte beskeder, indtil jeg tilbagekaldte den, " skrev Cerrudo.
Kontroller dine applikationer
Du bør regelmæssigt revidere listen over applikationer, der har tilladelse til at få adgang til dine Twitter- og Facebook-konti for at sikre dig, at der ikke er nogen uventede overraskelser. Kontroller, at alle de applikationer, der er autoriserede, er applikationer, du har tilføjet og stadig har brug for. Slip noget, du ikke bruger mere. Kontroller også tilladelsesniveauer for at sikre dig, at indstillingerne er passende.
På Twitter kan du klikke på tandhjulsikonet ved siden af søgefeltet øverst på skærmen og vælge Indstillinger. Når du har valgt til Apps (på venstre side af skærmen), vil du se alle de apps, der har adgang til din konto, og når den blev tilføjet. Tilladelsesniveauerne er anført lige under applikationsnavnet. Hvis nogen af dem ikke skulle være på listen, skal du klikke på knappen "Tilbagekald adgang".
På Facebook kan du klikke på gearikonet i øverste højre hjørne af skærmen og vælge Kontoindstillinger. Når du har valgt til Apps (på venstre side af skærmen), vil du se alle de applikationer, spil, plugins og websteder, der har adgang til din konto sammen med tilladelsesniveauer. Du kan klikke på Rediger for at justere tilladelser eller "x" for at fjerne det helt.
Det tager kun få minutter, men det er værd at sikre, at tredjepartsapps ikke griber fat i dine personlige data.
