Vídeo: twitter bug (Setembre 2024)
Un investigador de seguretat va descobrir un error al codi de Twitter que podria haver donat lloc a que algunes aplicacions de tercers tinguessin accés a missatges directes privats sense l’aprovació explícita de l’usuari.
Moltes aplicacions web permeten als usuaris iniciar sessió amb els seus comptes de Twitter i Facebook en lloc de crear un altre compte. És convenient que els usuaris i els desenvolupadors d'aplicacions puguin accedir a les dades d'usuari emmagatzemades al lloc de xarxes socials. Cesar Cerrudo, investigador de seguretat amb IOActive, es va trobar amb un defecte pel qual aquestes aplicacions podrien acabar amb nivells d'accés superiors al que haurien de tenir.
En una publicació al bloc d’IOActive Labs Research, Cerrudo va descriure com estava provant una aplicació web (encara en desenvolupament) que permetia als usuaris iniciar sessió amb Twitter o Facebook. A la pàgina "Inicieu la sessió", Cerrudo va veure que l'aplicació podia veure els seus tuits públics, publicar-los al seu compte, veure els seus seguidors, seguir persones noves i fer canvis al perfil. La pàgina també deia explícitament que l'aplicació no tindria accés als seus missatges directes ni a la seva contrasenya.
"Després de veure la pàgina web visualitzada, vaig confiar que Twitter no donaria accés a l'aplicació a la meva contrasenya i als missatges directes. Vaig sentir que el meu compte era segur, així que vaig iniciar la sessió i vaig jugar amb l'aplicació", va escriure Cerrudo.
Canvi dels nivells de permís
L’aplicació en realitat tenia la capacitat de mostrar missatges directes, però Twitter va impedir que l’aplicació realitzés amb èxit aquestes accions perquè només tenia els permisos de "lectura, escriptura", va dir Cerrudo. Si l’aplicació volia mostrar els missatges privats, l’aplicació hauria de sol·licitar el nivell d’accés més alt mitjançant una pàgina “Autoritzar l’aplicació”.
Tanmateix, després d’iniciar sessió i sortir de l’aplicació i de Twitter algunes vegades, l’aplicació va començar a mostrar els seus missatges directes. Cerrudo va comprovar la configuració de l'aplicació i va veure que de sobte havia permès "llegir, escriure i veure missatges directes", va dir Cerrudo. Va afirmar que no va veure mai la pàgina de l'aplicació Autoritzar.
"Ho va fer sense tenir autorització i Twitter no va mostrar cap missatge al respecte. Va ser un simple truc de bypass per a aplicacions de tercers per obtenir accés als missatges directes de Twitter d'un usuari", va escriure Cerrudo.
Cerrudo no va saber per què passava això i va notificar a Twitter. L’equip de seguretat va respondre de forma immediata i va tancar el problema, de manera que les aplicacions ja no haurien de ser arbitràries per obtenir més privilegis. Tanmateix, solucionar el defecte no significa que cap de les aplicacions que van aconseguir obviar la configuració de seguretat de Twitter es restablissin als nivells de permís original.
"Després de la correcció de seguretat, l'aplicació que vaig provar encara va tenir accés a missatges directes fins que la vaig revocar", va escriure Cerrudo.
Comproveu les vostres aplicacions
Permet comprovar periòdicament la llista d’aplicacions amb permís per accedir als vostres comptes de Twitter i Facebook per assegurar-vos que no hi hagi sorpreses inesperades. Comproveu que totes les aplicacions autoritzades siguin aplicacions que heu afegit i que encara necessiteu. Col·loca el que ja no facis servir. A més, comproveu els nivells de permís per assegurar-vos que la configuració sigui adequada.
A Twitter, podeu fer clic a la icona d'engranatges al costat del quadre de cerca a la part superior de la pantalla i seleccionar Configuració. Després de seleccionar a Aplicacions (a la part esquerra de la pantalla), veureu totes les aplicacions que tenen accés al vostre compte i quan s'ha afegit. Els nivells de permís es mostren just a sota del nom de l'aplicació. Si algun d’ells no hauria d’estar a la llista, feu clic al botó “Revoca l’accés”.
A Facebook, podeu fer clic a la icona d'engranatges a l'extrem superior dret de la pantalla i seleccionar Configuració del compte. Després de seleccionar a aplicacions (a la part esquerra de la pantalla), veureu totes les aplicacions, jocs, plugins i llocs web que tenen accés al vostre compte, juntament amb els nivells de permís. Podeu fer clic a Edita per ajustar els permisos o la "x" per eliminar-la del tot.
Només triguen uns minuts, però val la pena assegurar-se que les aplicacions de tercers no agafin les vostres dades personals.
