У дома Securitywatch Приложенията в Twitter все още могат да чурукат въпреки нулирането на паролата

Приложенията в Twitter все още могат да чурукат въпреки нулирането на паролата

Видео: what if the hxh cast had twitter? (Ноември 2024)

Видео: what if the hxh cast had twitter? (Ноември 2024)
Anonim

Twitter се премести бързо, за да заключи потребителските акаунти и да отмени маркерите на сесиите след нарушаването на миналата седмица, но изглежда някои маркери са останали активни, което позволява на приложенията на трети страни да продължат достъпа до Twitter, използвайки стари идентификационни данни.

Ако сте един от 250 000 потребители на Twitter, които са получили имейл за нулиране на паролата в петък, надяваме се, че вече сте променили паролата си. Ако използвате приложения на трети страни за публикуване в Twitter, възможно е тези приложения все още да използват вашите стари идентификационни данни. Деинсталирайте и инсталирайте отново приложенията, за да сте на сигурна страна.

Както съобщихме за SecurityWatch през уикенда, нападателите откраднаха потребителски имена, имейл адреси, маркери за сесии и солени и хеширани пароли. Маркерите за сесия са специален тип криптографски бисквитки, информиращи сайта за микро-блогове, че потребителят вече е влязъл. Докато маркерът за сесия все още е валиден (не е изтекъл, отменен или изтрит), потребителите могат да се върнат към Twitter, без да влизат назад във всеки път.

Анулирането на тези жетони за сесия, както Twitter каза, че го е направил, гарантира, че нападателите, които са успели да прихванат маркерите, нямат достъп до вашия акаунт. Като се има предвид количеството на злонамерен софтуер за кражба на данни, извличане на бисквитки от заразени компютри, нулирането на маркера е неудобно за потребителите (за това, че трябва да влязат обратно), но ефективно за предотвратяване на атакуващите.

Приложенията могат да влизат

Има обаче съобщения, че някои от маркерите, използвани от приложения на трети страни, не са били засегнати. Създаването на нова парола след получаване на известието за нулиране не попречи на собствените мобилни приложения или настолни клиенти на Twitter, като TweetDeck, да изпращат нови публикации, съобщава The Register. Самият наш Макс Еди каза, че през уикенда трябва да смени паролите за своите акаунти в Twitter, но никое от приложенията на трети страни, които използва, не го подтикна да актуализира паролата с по-новата.

Приложенията, използващи API на Twitter, обикновено разчитат на OAuth, отворен стандарт за удостоверяване на много сайтове. Отменените маркери за сесия Twitter не изглежда са засегнали приложения, които използват OAuth за обработка на удостоверяването. Един човек каза на Регистъра, че приложенията не са поискали новата парола, докато не бъде изтрита и отново инсталирана.

"Когато паролата е променена на едно устройство и имате две други устройства, влезли със старата парола (например), продавачът трябва да прекрати всички отворени сесии за дадения акаунт", заяви Шейн Дука от McAfee пред The ​​Register.

Приложенията, използващи OAuth, получават криптографски сесиен ключ при първия автентификация с уеб услугата и изпращат ключовете при следващи посещения, заяви пред SecurityWatch Сезар Церудо, технически директор на IOActive Labs. Това позволява на приложения на трети страни да работят с въпросната услуга без многократно изпращане на информация за паролата.

Черудо все още не беше разгледал тази конкретна ситуация, така че не предложи никакви предположения за случващото се. SecurityWatch се свърза с Twitter за това как третира сеансите на OAuth и чака да чуе обратно.

Според политиката Twitter не „изтича понастоящем маркери за достъп“, според ръководството на компанията към разработчиците за използване на OAuth. „Маркерът ви за достъп ще бъде невалиден, ако потребител изрично отхвърли приложението ви от настройките си или ако администратор на Twitter прекрати приложението ви“, се казва в ръководството.

Това ще бъде вторият инцидент с OAuth с Twitter през последните няколко седмици. Наскоро Черудо извика Twitter, че не уведомява потребителите за издаване на разрешения, които той е определил тихо.

За повече информация от Fahmida, следвайте я в Twitter @zdFYRashid.

Приложенията в Twitter все още могат да чурукат въпреки нулирането на паролата