אפליקציות בטוויטר עדיין יכולות לצייץ למרות איפוס סיסמה

טוויטר עברה במהירות לנעילת חשבונות משתמשים ולבטל אסימוני הפעלה לאחר ההפרה בשבוע שעבר, אך נראה כי כמה אסימונים נותרו פעילים, מה שמאפשר ליישומי צד ג 'להמשיך לגשת לטוויטר באמצעות תעודות ישנות.

אם אתה מבין 250, 000 משתמשי הטוויטר שקיבלו את דוא"ל איפוס הסיסמה ביום שישי, אני מקווה שכבר שינית את הסיסמה שלך. אם אתה משתמש באפליקציות של צד שלישי כדי לפרסם בטוויטר, ייתכן שהאפליקציות האלה עדיין משתמשות בתעודות הישנות שלך. הסר והתקן מחדש את היישומים כדי להיות בצד הבטוח.

כפי שדיווחנו על SecurityWatch בסוף השבוע, התוקפים גנבו שמות משתמש, כתובות דוא"ל, אסימוני הפעלה וסיסמאות מומלצות וחומצות. אסימוני הפעלה הם סוג מיוחד של עוגיות קריפטוגרפיות המיידעות את אתר המיקרו-בלוגים שהמשתמש כבר מחובר אליו. כל עוד אסימון ההפעלה עדיין תקף (לא יפוג, לא יבוטל או יימחק), המשתמשים יכולים לחזור לטוויטר מבלי להיכנס שוב. בכל פעם.

ביטול סמלי ההפעלה הללו, כפי שאמר טוויטר, מבטיח שתוקפים שהצליחו ליירט את האסימונים אינם יכולים לגשת לחשבונכם. בהתחשב בכמות הגניבה של נתונים הזדוניים שם הקוצרים עוגיות ממחשבים נגועים, איפוס האסימון אינו נוח למשתמשים (לצורך הצורך להתחבר שוב) אך יעיל להרחיק את התוקפים.

אפליקציות יכולות להתחבר

עם זאת, ישנם דיווחים כי חלק מהאסימונים בהם השתמשו אפליקציות צד ג 'לא הושפעו. יצירת סיסמא חדשה לאחר שקיבלה את הודעת האיפוס לא מנעה מהאפליקציות הניידות של טוויטר או מלקוחות שולחן העבודה שלהם כמו TweetDeck להגיש פוסטים חדשים, כך דווח ב- Register. מקס אדי שלנו עצמו אמר שהוא צריך לשנות סיסמאות לחשבונות הטוויטר שלו בסוף השבוע, אך אף אחת מהאפליקציות של צד שלישי בו השתמש לא הצליחה לעדכן את הסיסמה עם זו החדשה יותר.

אפליקציות המשתמשות בממשק ה- API של Twitter מסתמכות בדרך כלל על OAuth, סטנדרט פתוח לאימות באתרים מרובים. סימני ההפעלה של טוויטר שבוטלו לא נראה כי הם השפיעו על אפליקציות שהשתמשו ב- OAuth כדי לטפל באימות. אדם אחד אמר ל- Register כי האפליקציות לא ביקשו את הסיסמה החדשה עד שנמחקה והתקנה מחדש.

Sean Duca, McAfee, אמר ל- The Register, "כשמשתנים סיסמה במכשיר אחד ויש לך שני מכשירים אחרים המחוברים עם הסיסמה הישנה (למשל), על הספק לסיים את כל הפגישות הפתוחות עבור החשבון הנתון.

אפליקציות המשתמשות ב- OAuth מקבלות מפתח הפעלה קריפטוגרפי בפעם הראשונה שהוא מאמת עם שירות האינטרנט, ושולחות את המפתחות בביקורים הבאים, כך אמרה Cesar Cerrudo, CTO של IOActive Labs, ל- SecurityWatch. זה מאפשר לאפליקציות של צד שלישי לעבוד עם השירות המדובר מבלי לשלוח שוב ושוב את פרטי הסיסמה.

סרודו עוד לא בדק את המצב הספציפי הזה, ולכן לא הציע ניחושים לגבי המתרחש. SecurityWatch הושיט לטוויטר כיצד הוא מתייחס למפגשי OAuth ומחכה לשמוע זאת.

על פי המדיניות, טוויטר אינה "פוקעת כרגע אסימוני גישה", על פי הנחיות החברה למפתחים לגבי השימוש ב- OAuth. "אסימון הגישה שלך לא יהיה חוקי אם משתמש דוחה במפורש את היישום שלך מההגדרות שלהם או אם מנהל טוויטר מושעה את בקשתך", נכתב בהנחיות.

זה יהיה האירוע השני שקשור ל- Twitter עם טוויטר בשבועות האחרונים. Cerrudo קרא לאחרונה לטוויטר כי לא הודיע ​​למשתמשים על נושא ההרשאות שאותו תיקן בשקט.

למידע נוסף מפחמידה עקוב אחריה בטוויטר @zdFYRashid.