באג בטוויטר משנה את רמות האבטחה של היישומים בטוויטר

חוקר אבטחה חשף באג בקוד הטוויטר שעלול לגרום לכך שכמה יישומי צד ג 'קיבלו גישה להודעות ישירות פרטיות ללא אישור מפורש של המשתמש.

יישומי אינטרנט רבים מאפשרים למשתמשים להיכנס באמצעות חשבונות הטוויטר והפייסבוק שלהם במקום ליצור חשבון נוסף. זה נוח למשתמשים ומפתחי יישומים יכולים לגשת לנתוני משתמשים המאוחסנים באתר הרשתות החברתיות. סזאר סרודו, חוקר אבטחה עם IOActive, מעד את הפגם בו יישומים אלו יכולים להסתיים ברמות גישה גבוהות יותר ממה שהיה צריך.

בפוסט בבלוג המחקר IOActive Labs, תיאר סרודו כיצד הוא בוחן יישום אינטרנט (שעדיין נמצא בפיתוח) המאפשר למשתמשים להיכנס באמצעות טוויטר או פייסבוק. בעמוד "כניסה" ראה סרודו כי היישום יוכל לצפות בציוצים הציבוריים שלו, לפרסם על חשבונו, לראות את העוקבים שלו, לעקוב אחרי אנשים חדשים ולבצע שינויים בפרופיל. בדף צוין במפורש כי לאפליקציה לא תהיה גישה להודעות הישירות או לסיסמתו.

"אחרי שצפיתי בדף האינטרנט המוצג, סמכתי על כך שטוויטר לא ייתן לאפליקציה גישה לסיסמה שלי והודעות ישירות. הרגשתי שהחשבון שלי בטוח, אז התחברתי ושיחקתי עם האפליקציה", כתב Cerrudo.

שינוי רמות הרשאה

היישום למעשה הצליח להציג הודעות ישירות, אך טוויטר חסמה את היישום לבצע את הפעולות בהצלחה מכיוון שהיה לה רק הרשאות "לקרוא, לכתוב", אמר סרודו. אם היישום רצה להציג את ההודעות הפרטיות, היישום היה צריך לבקש את רמת הגישה הגבוהה יותר באמצעות דף "הרשאת אפליקציה".

עם זאת, לאחר כניסה ויציאה מהיישום וטוויטר מספר פעמים, האפליקציה החלה להציג את ההודעות הישירות שלו. Cerrudo בדק את הגדרת האפליקציה וראה שהיא פתאום קיבלה הרשאות "לקרוא, לכתוב ולראות הודעות ישירות", אמר Cerrudo. הוא טען שמעולם לא ראה את דף האפליקציות הרשאה.

"זה עשה זאת מבלי שהיה לו אישור וטוויטר לא הציגה שום הודעה בנושא. זה היה טריק עוקף פשוט עבור יישומי צד ג 'כדי לקבל גישה להודעות ישירות בטוויטר של המשתמש", כתב Cerrudo.

סרודו לא הצליח להבין מדוע זה קורה והודיע ​​לטוויטר. צוות האבטחה הגיב מייד וסגר את הנושא, ולכן יישומים כבר לא צריכים להיות שרירותיים וזוכים להרשאות מוגברות. עם זאת, תיקון הפגם לא אומר שאף אחד מהיישומים שהצליחו לעקוף את הגדרות האבטחה של טוויטר אופסו לרמות ההרשאה המקוריות.

"לאחר תיקון האבטחה, לאפליקציה שבדקתי עדיין הייתה גישה להודעות ישירות עד שביטלתי אותה", כתב סרודו.

בדוק את היישומים שלך

עליך לבדוק מדי פעם את רשימת היישומים שיש להם הרשאה לגשת לחשבונות הטוויטר והפייסבוק שלך כדי לוודא שאין הפתעות בלתי צפויות. בדוק כי כל היישומים המורשים הם יישומים שהוספת, ועדיין זקוקים להם. זרוק כל מה שאתה לא משתמש בו יותר. כמו כן, בדוק את רמות ההרשאה כדי לוודא שההגדרות מתאימות.

בטוויטר תוכלו ללחוץ על סמל ההילוכים שליד תיבת החיפוש שבראש המסך ולבחור הגדרות. לאחר בחירה באפליקציות (בצד שמאל של המסך), תראה את כל האפליקציות שיש להן גישה לחשבונך, ומתי הוספה. רמות ההרשאה מופיעות ממש מתחת לשם היישום. אם מישהו מהם לא אמור להיות ברשימה, לחץ על כפתור "ביטול הגישה".

בפייסבוק תוכלו ללחוץ על סמל ההילוכים בפינה השמאלית העליונה של המסך ולבחור הגדרות חשבון. לאחר בחירה באפליקציות (בצד שמאל של המסך), תראה את כל היישומים, המשחקים, התוספים ואתרי האינטרנט שיש להם גישה לחשבון שלך, יחד עם רמות ההרשאה. אתה יכול ללחוץ על עריכה כדי להתאים את ההרשאות או על "x" כדי להסיר אותה לחלוטין.

זה לוקח כמה דקות בלבד, אבל כדאי להבטיח שאפליקציות של צד שלישי לא תופסות את הנתונים האישיים שלך.