Видео: Настя и сборник весёлых историй (Ноември 2024)
Изследовател по сигурността откри грешка в кода на Twitter, което може да е довело до това, че някои приложения на трети страни получават достъп до лични директни съобщения без изричното одобрение на потребителя.
Много уеб приложения позволяват на потребителите да влизат, използвайки своите акаунти в Twitter и Facebook, вместо да създават още един акаунт. Удобно е за потребители и разработчици на приложения да имат достъп до потребителски данни, съхранявани в сайта за социални мрежи. Сезар Черудо, изследовател по сигурността с IOActive, се натъкна на недостатък, при който тези приложения могат да завършат с по-високи нива на достъп, отколкото трябва да имат.
В публикация в блога на IOActive Labs Research, Черудо описа как тества уеб приложение (все още в процес на разработка), което позволява на потребителите да влизат с Twitter или Facebook. На страницата „Вход“ Cerrudo видя, че приложението ще може да преглежда публичните си туитове, да публикува в неговия акаунт, да вижда последователите си, да следи нови хора и да прави промени в профила. Страницата също изрично заяви, че приложението няма да има достъп до директните му съобщения или паролата му.
"След като видях показаната уеб страница, аз се доверих, че Twitter няма да даде на приложението достъп до моята парола и директни съобщения. Чувствах, че акаунтът ми е в безопасност, затова влязох и играх с приложението", написа Cerrudo.
Промяна на нивата на разрешение
Приложението всъщност имаше възможност за показване на директни съобщения, но Twitter блокира приложението да изпълнява успешно тези действия, тъй като има само разрешенията за „четене, писане“, заяви Черудо. Ако приложението искаше да показва личните съобщения, приложението ще трябва да поиска по-високо ниво на достъп чрез страница „Разрешаване на приложение“.
Въпреки това, след като влезете и излезете от приложението и Twitter няколко пъти, приложението започна да показва директните му съобщения. Черудо провери настройката на приложението и видя, че изведнъж има разрешения за „четене, писане и вижте директни съобщения“, каза Черудо. Той твърдеше, че никога не е виждал страницата на приложението Авторизиране.
„Това стана, без да има разрешение, и Twitter не показваше никакви съобщения за това. Това беше прост байпасов трик за приложения на трети страни за получаване на достъп до директни съобщения в Twitter на потребителя“, пише Cerrudo.
Черудо не можа да разбере защо това се случва и уведоми Twitter. Екипът по сигурността отговори незабавно и затвори въпроса, така че приложенията вече не трябва да бъдат произволни, като получават увеличени привилегии. Въпреки това, коригирането на недостатъка не означава, че никое от приложенията, които успяха да заобиколят настройките за сигурност на Twitter, бяха нулирани до първоначалните нива на разрешения.
„След поправката за защита приложението, което тествах, все още имаше достъп до директни съобщения, докато не го отмених“, пише Cerrudo.
Проверете вашите приложения
Периодично трябва да проверявате списъка с приложения, които имат разрешение за достъп до вашите акаунти в Twitter и Facebook, за да сте сигурни, че няма неочаквани изненади. Проверете дали всички приложения, които са оторизирани, са добавени от вас приложения и все още се нуждаят. Пуснете всички, които вече не използвате. Също така проверете нивата на разрешения, за да се уверите, че настройките са подходящи.
В Twitter можете да щракнете върху иконата на зъбни колела до полето за търсене в горната част на екрана и да изберете Настройки. След като изберете към Приложения (отляво на екрана), ще видите всички приложения, които имат достъп до вашия акаунт и кога са били добавени. Нивата на разрешения са посочени точно под името на приложението. Ако някой от тях не трябва да бъде в списъка, кликнете върху бутона „Отмени достъп“.
Във Facebook можете да щракнете върху иконата на зъбни колела в горния десен ъгъл на екрана и да изберете Настройки на акаунта. След като изберете към Приложения (отляво на екрана), ще видите всички приложения, игри, плъгини и уебсайтове, които имат достъп до вашия акаунт, заедно с нивата на разрешения. Можете да кликнете върху Редактиране, за да коригирате разрешенията, или „х“, за да го премахнете изцяло.
Това отнема само няколко минути, но си струва да се гарантира, че приложенията на трети страни не грабват личните ви данни.
