Araştırmacı: Twitter hatası üçüncü şahıs uygulamalarına özel mesajlara yetkisiz erişim izni verdi

Üçüncü tarafa imza atan kullanıcılar. Güvenlik danışmanlığı şirketi IOActive'ın teknoloji baş sorumlusu Cesar Cerrudo'ya göre, Twitter hesaplarını kullanan web veya mobil uygulamalar, Twitter özel “doğrudan” mesajlarına erişmeden bu uygulamalara erişim sağlayabilirdi.

Sorun, Twitter'ın API'sindeki (uygulama programlama arayüzü) bir kusurun, kullanıcıların bir uygulamanın kendi hesapları üzerinde sahip olacakları izinler hakkında doğru bir şekilde bilgilendirilmemesine neden oldu. nts bir kez erişim izni verdi. Cerrudo sorunu açıkladı ve Salı günü yayınlanan bir blog gönderisinde nasıl keşfettiğini açıkladı.

Kullanıcıların Twitter hesaplarına giriş yapabilmelerine olanak veren uygulamalar //dev.twitter.com/apps adresinden Twitter ile kaydedilmelidir. Kayıt sırasında geliştiricilerin, uygulamaların insanların hesaplarında sahip olduğu erişim düzeyini bildirmeleri gerekir: “salt okunur”, “oku ve yaz” veya “doğrudan mesajlara okuma, yazma ve erişme”.

[Daha fazla okuma: Nasıl Windows PC'nizden kötü amaçlı yazılımları kaldırmak için]

Kullanıcılar, Twitter hesaplarını kullanarak ilk kez böyle bir uygulamaya giriş yapmaya çalıştığında, Twitter'ın web sitesinde belirli bir uygulama tarafından istenen izinleri listeleyen bir yetkilendirme sayfasına yönlendirilirler.

Cerrudo, Twitter ile bildirilen “doğrudan mesajlara okuma, yazma ve erişim” iznine sahip bir arkadaşın geliştirdiği bir uygulamayı test ederken konuyu keşfettiğini söyledi.

İlk kez Twitter'la uygulamaya başladığı zaman hesabında, uygulamanın zaman çizelgesinden tweetleri okuyabileceğini, hangi kullanıcıları takip ettiğini, onun yerine yeni kullanıcıları takip ettiğini, profilini güncellediğini bildiren bir yetkilendirme sayfasına yönlendirildi. ormation ve onun adına tweet attı, dedi. Sayfa, uygulamanın doğrudan mesajlara veya hesabın şifresine erişemeyeceğini açıkça belirtti.

“Görüntülenen web sayfasını görüntüledikten sonra, Twitter uygulamasının şifremi ve doğrudan mesajlarıma erişim izni vermeyeceğine güvenmiştim. blogda yazdı. “Hesabımın güvende olduğunu hissettim, bu yüzden giriş yaptım ve uygulama ile oynadım.”

Araştırmacı, uygulamanın doğrudan mesajlara erişmek ve görüntülemek için işlevselliğe sahip olduğunu fark etti, ancak özellik çalışmadığı görülüyordu. Bu, bu izni vermesi istenmediği için mantıklıydı.

Ancak, uygulama ve Twitter'da birkaç kez oturum açtıktan sonra, doğrudan mesajları uygulamaya başladı. Twitter hesabıyla (Ayarlar> Uygulamalar) etkileşimde bulunmaya yetkili uygulamaların listesini kontrol ederken, uygulamanın aslında okuma, yazma ve erişim doğrudan mesaj izinlerine sahip olduğunu fark etti.

“Bunun büyük bir güvenlik olduğunu anladım. delik, ”dedi.

Araştırmacı, Salı günü yaptığı açıklamada, uygulamanın özel mesajlarını okuyabileceği uyarısında bulunmadan, uygulamaya erişimi iptal ederek ve yetkilendirme sürecinden geçerek, uygulamayı birkaç kez başarıyla yeniden ürettiğini doğruladı. Sorun 16 Ocak'ta Twitter'a bildirildi ve 24 saatten daha kısa bir sürede ele alındı.

"Sorunun karmaşık kod ve yanlış varsayımlar ve doğrulamalar nedeniyle gerçekleştiğini söylediler," diyor Cerrudo blogda.

Ancak, Twitter'ın düzeltmesi geriye dönük olarak uygulanmıyor gibi görünüyor. Twitter sorunu giderdikten sonra, uygulama Cerrudo, hesabına zaten erişim yetkisine sahip olmadığına dair doğrudan mesajlar göstermeye devam ettiğini test ediyordu, dedi.

Twitter kullanıcılarının, geçmişte yetkilendirdikleri uygulamalardan herhangi birinin kendi bilgisi olmadan doğrudan mesajlarına erişip erişmediğini kontrol etmeleri gerektiğini belirtti. Bu, Twitter Ayarları> Uygulamalar sayfasındaki izinlerini gözden geçirerek yapılabilir.

Cerrudo bu sorunu kamuoyuna duyurmaya karar verdi çünkü ciddi etkileri olabilir ve Twitter bu konuda bir kamu danışmanlığı veya duyurusu yayınlamadı. Şirket, kullanıcıları güvenlik sorunları hakkında bilgilendirebilecekleri özel bir sayfa tutmalıdır.

Twitter, bir yorum isteğine hemen yanıt vermedi.