Відео: NNN - The Orange-Green War Continues (Листопад 2024)
Дослідник безпеки виявив помилку в коді Twitter, що може призвести до отримання сторонніми програмами доступу до приватних прямих повідомлень без явного схвалення користувача.
Багато веб-додатків дозволяють користувачам входити, використовуючи свої акаунти Twitter та Facebook, а не створювати ще один обліковий запис. Це зручно для користувачів та розробників додатків, які можуть отримати доступ до даних користувачів, що зберігаються на веб-сайті соціальної мережі. Сезар Серрудо, дослідник безпеки з IOActive, наткнувся на недолік, за якого ці програми могли закінчитися з більш високим рівнем доступу, ніж вони повинні мати.
У своєму дописі в блозі IOActive Labs Research Серрудо розповів, як він тестує веб-додаток (ще знаходиться в стадії розробки), що дозволило користувачам входити в систему з Twitter або Facebook. На сторінці "Увійти" Серрудо побачив, що програма зможе переглядати його публічні твіти, публікувати його в акаунті, бачити своїх підписників, слідкувати за новими людьми та вносити зміни до профілю. На цій сторінці також чітко зазначено, що програма не матиме доступу до своїх прямих повідомлень або пароля.
"Переглянувши відображену веб-сторінку, я довірився, що Twitter не надасть додатку доступ до мого пароля та прямих повідомлень. Я відчув, що мій обліковий запис у безпеці, тому я ввійшов у систему та грав із програмою", - написав Серрудо.
Зміна рівнів дозволу
У програмі насправді була можливість відображати прямі повідомлення, але Twitter заблокував програму успішно виконувати ці дії, оскільки на нього мали лише дозволи "читати, писати", заявив Серрудо. Якщо програма хотіла відображати приватні повідомлення, програмі потрібно було б запросити більш високий рівень доступу через сторінку "Авторизувати додаток".
Однак після входу та виходу із програми та Twitter кілька разів програма почала відображати його прямі повідомлення. Серрудо перевірив налаштування програми і побачив, як раптом дозволи «читати, писати та бачити прямі повідомлення», заявив Серрудо. Він стверджував, що ніколи не бачив сторінку програми авторизації.
"Це було зроблено, не маючи дозволу, і Twitter не показував жодних повідомлень про це. Це був простий обхідний фокус для сторонніх додатків для отримання доступу до прямих повідомлень Twitter у користувачі", - написав Серрудо.
Серрудо не зміг зрозуміти, чому це відбувається, і повідомив про це Twitter. Команда з питань безпеки негайно відреагувала та закрила це питання, тому додатки більше не повинні довільно отримувати збільшені пільги. Однак виправити недолік не означає, що жодне з додатків, яким вдалося обійти налаштування безпеки Twitter, було відновлено до початкових рівнів дозволів.
"Після виправлення безпеки програма, яку я тестував, все ще мав доступ до прямих повідомлень, поки я її не відкликав", - написав Серрудо.
Перевірте свої програми
Вам слід періодично перевіряти список програм, які мають дозвіл на доступ до ваших акаунтів у Twitter та Facebook, щоб упевнитися, що несподіваних сюрпризів немає. Переконайтесь, що всі авторизовані програми - додані вами додаткові додатки. Відкиньте все, що більше не використовуєте. Також перевірте рівні дозволів, щоб переконатися, що налаштування відповідні.
У Twitter можна натиснути значок шестірні поруч із полем пошуку вгорі екрана та вибрати Налаштування. Вибравши Додатки (зліва на екрані), ви побачите всі програми, які мають доступ до вашого облікового запису та коли вони були додані. Рівні дозволів вказані трохи нижче назви програми. Якщо жоден із них не повинен бути у списку, натисніть кнопку "Скасувати доступ".
У Facebook ви можете натиснути на значок шестерні у верхньому правому куті екрана та вибрати Налаштування облікового запису. Вибравши Додатки (зліва на екрані), ви побачите всі програми, ігри, плагіни та веб-сайти, які мають доступ до вашого облікового запису, а також рівні дозволів. Ви можете натиснути кнопку "Редагувати", щоб відрегулювати дозволи або "x", щоб повністю їх видалити.
Це займе лише кілька хвилин, але варто переконатися, що сторонні додатки не захоплюють ваші особисті дані.