Видео: ну где же Ñ‚Ñ‹ любовь Ð¼Ð¾Ñ Ð¿Ñ€ÐµÐºÑ€Ð°Ñное иÑполнение (Октября 2024)
Исследователь безопасности обнаружил ошибку в коде Twitter, которая могла привести к тому, что некоторые сторонние приложения получили доступ к личным прямым сообщениям без явного согласия пользователя.
Многие веб-приложения позволяют пользователям входить в систему с использованием своих учетных записей Twitter и Facebook вместо создания еще одной учетной записи. Это удобно для пользователей, и разработчики приложений могут получить доступ к пользовательским данным, хранящимся на сайте социальной сети. Сезар Серрудо, исследователь безопасности с IOActive, наткнулся на недостаток, в котором эти приложения могут иметь более высокий уровень доступа, чем они должны были.
В своем посте в блоге IOActive Labs Research Черрудо описал, как он тестировал веб-приложение (все еще находящееся в разработке), которое позволяло пользователям входить в систему через Twitter или Facebook. На странице «Вход» Cerrudo увидел, что приложение сможет просматривать его общедоступные твиты, публиковать в своем аккаунте, видеть его подписчиков, следить за новыми людьми и вносить изменения в профиль. На странице также прямо указано, что приложение не будет иметь доступа к его прямым сообщениям или его паролю.
«После просмотра отображаемой веб-страницы я поверил, что Twitter не предоставит приложению доступ к моему паролю и прямым сообщениям. Я чувствовал, что моя учетная запись была в безопасности, поэтому я вошел в систему и поиграл с приложением», - написал Черрудо.
Изменение уровня доступа
Приложение действительно имело возможность отображать прямые сообщения, но Twitter заблокировал приложение от успешного выполнения этих действий, потому что у него были только разрешения на «чтение, запись», сказал Серрудо. Если приложение хотело отображать личные сообщения, оно должно было бы запросить более высокий уровень доступа через страницу «Авторизовать приложение».
Однако после нескольких входов и выходов из приложения и Twitter приложение начало отображать его прямые сообщения. Серрудо проверил настройки приложения и увидел, что оно внезапно получило разрешения «читать, писать и видеть прямые сообщения», сказал Черрудо. Он утверждал, что никогда не видел страницу приложения Авторизация.
«Это было сделано без авторизации, и Twitter не отображал никаких сообщений об этом. Это был простой обходной путь для сторонних приложений, чтобы получить доступ к прямым сообщениям пользователя в Twitter», - пишет Черрудо.
Черрудо не мог понять, почему это происходит, и уведомил Твиттер. Команда безопасности быстро отреагировала и закрыла вопрос, поэтому приложения больше не должны произвольно получать повышенные привилегии. Однако исправление ошибки не означает, что ни одно из приложений, которым удалось обойти настройки безопасности Twitter, было сброшено до первоначальных уровней разрешений.
«После исправления безопасности приложение, которое я тестировал, все еще имело доступ к прямым сообщениям, пока я не отозвал его», - написал Черрудо.
Проверьте свои приложения
Вам следует периодически проверять список приложений, имеющих разрешение на доступ к вашим учетным записям Twitter и Facebook, чтобы убедиться в отсутствии неожиданных сюрпризов. Убедитесь, что все авторизованные приложения являются приложениями, которые вы добавили и которые все еще нужны. Бросьте все, что вы больше не используете. Также проверьте уровни разрешений, чтобы убедиться в правильности настроек.
В Twitter вы можете нажать на значок шестеренки рядом с окном поиска в верхней части экрана и выбрать «Настройки». Выбрав «Приложения» (в левой части экрана), вы увидите все приложения, которые имеют доступ к вашей учетной записи и когда она была добавлена. Уровни разрешений перечислены чуть ниже названия приложения. Если ни один из них не должен быть в списке, нажмите кнопку «Отменить доступ».
На Facebook вы можете щелкнуть значок шестеренки в правом верхнем углу экрана и выбрать «Настройки учетной записи». Выбрав «Приложения» (в левой части экрана), вы увидите все приложения, игры, плагины и веб-сайты, которые имеют доступ к вашей учетной записи, а также уровни разрешений. Вы можете нажать на «Правка», чтобы настроить разрешения, или «x», чтобы полностью удалить его.
Это займет всего несколько минут, но стоит убедиться, что сторонние приложения не захватывают ваши личные данные.
