SEMPADAN NEGARA | Masih Ditutup Kepada Warga Asing
Pengguna yang masuk ke pihak ketiga Aplikasi web atau mudah alih yang menggunakan akaun Twitter mereka mungkin telah memberikan aplikasi tersebut akses kepada mesej peribadi mereka "langsung" Twitter tanpa mengetahui, menurut Cesar Cerrudo, ketua pegawai teknologi firma keselamatan IOActive.
Isu ini adalah hasil dari kecacatan di API Twitter (antara muka pengaturcaraan aplikasi) yang membawa kepada pengguna tidak dimaklumkan dengan betul tentang apa kebenaran yang akan diberikan oleh aplikasi pada accou tidak pernah diberi akses. Cerrudo menyifatkan masalah itu dan menjelaskan bagaimana dia menemuinya dalam catatan blog yang diterbitkan Selasa.
Aplikasi yang membolehkan pengguna untuk log masuk dengan akaun Twitter mereka perlu didaftarkan dengan Twitter di //dev.twitter.com/apps. Semasa pendaftaran, pemaju mereka perlu mengisytiharkan tahap akses aplikasi yang ada pada akaun orang: "baca sahaja," "membaca dan menulis" atau "membaca, menulis dan mengakses mesej langsung."
[Bacaan lanjut: Bagaimana untuk mengalih keluar perisian hasad dari PC Windows anda]Apabila pengguna cuba log masuk ke aplikasi sedemikian untuk kali pertama menggunakan akaun Twitter mereka, mereka akan dialihkan semula ke halaman otorisasi di laman web Twitter yang menyenaraikan kebenaran yang diminta oleh aplikasi tertentu
Cerrudo berkata bahawa dia menemui masalah itu semasa dia menguji aplikasi yang dibangunkan oleh rakan yang mempunyai kebenaran "membaca, menulis dan mengakses mesej langsung" yang diisytiharkan dengan Twitter.
Ketika dia pertama kali masuk ke dalam aplikasi dengan Twitternya akaun, dia diarahkan ke halaman kebenaran yang memberitahunya bahawa aplikasi itu dapat membaca tweet dari garis masanya, lihat pengguna mana yang dia ikuti, ikuti pengguna baru bagi pihaknya, kemas kini profilnya inf ormation dan post tweets bagi pihaknya, katanya. Halaman ini dengan jelas menyatakan bahawa aplikasi itu tidak akan dapat mengakses mesej langsung atau kata laluan akaun.
"Setelah melihat laman web yang dipaparkan, saya yakin Twitter tidak akan memberikan akses aplikasi ke kata laluan dan mesej langsung saya," katanya. menulis di blog. "Saya merasakan bahawa akaun saya selamat, jadi saya masuk dan dimainkan dengan aplikasi."
Penyelidik menyedari bahawa aplikasi mempunyai fungsi untuk mengakses dan memaparkan mesej langsung, tetapi ciri itu tidak kelihatan berfungsi. Ini masuk akal kerana dia tidak diminta memberikan kebenaran itu.
Walau bagaimanapun, selepas masuk dan keluar dari aplikasi dan Twitter beberapa kali, mesej langsungnya mula muncul dalam permohonan itu. Apabila memeriksa senarai aplikasi yang diberi kuasa untuk berinteraksi dengan akaun Twitternya (Settings> Apps) dia perhatikan bahawa aplikasi sebenarnya telah membaca, menulis, dan mengakses kebenaran mesej langsung.
"Saya sedar bahawa ini adalah keselamatan besar lubang, "kata Cerrudo.
Penyelidik mengesahkan hari ini bahawa dia berjaya meniru tingkah laku beberapa kali dengan membatalkan akses ke aplikasi dan melalui proses pengesahan sekali lagi tanpa diberi amaran bahawa aplikasi itu akan dapat membaca mesej peribadinya. Isu ini dilaporkan ke Twitter pada 16 Januari dan ditangani kurang dari 24 jam, katanya. "Mereka berkata masalah itu berlaku kerana kod kompleks dan andaian dan pengesahan yang salah," kata Cerrudo dalam catatan blognya.
Walau bagaimanapun, pembaikan Twitter nampaknya tidak digunakan secara retroaktif. Selepas Twitter membetulkan isu itu, aplikasi Cerrudo sedang menguji yang sudah mempunyai akses ke akaunnya terus memaparkan mesej langsung meskipun tidak pernah menerima kebenaran daripada beliau untuk melakukannya, katanya.
Pengguna Twitter harus memeriksa sama ada mana-mana aplikasi yang mereka berikan pada masa lalu juga mendapat akses kepada mesej langsung mereka tanpa pengetahuan mereka, kata Cerrudo. Ini boleh dilakukan dengan mengkaji semula kebenaran mereka di laman Twitter Settings> Laman Apps.
Cerrudo memutuskan untuk membuat isu ini umum kerana ia mungkin mempunyai implikasi yang serius dan kerana Twitter tidak mengeluarkan nasihat awam atau pengumuman mengenainya. Syarikat itu harus mengekalkan laman khusus di mana ia dapat memaklumkan kepada pengguna tentang isu-isu keselamatan, katanya.
Twitter tidak segera memberi respons kepada permintaan untuk komen.
> Dokumen dalaman yang diperkatakan dan maklumat sensitif dari Twitter dan pekerjanya mungkin disiarkan hari ini di laman web : Diego Aguirrews dan kedai web lain. Sumber maklumat ini adalah penggodam Perancis yang masuk dengan nama Hacker Croll. Jenayah siber mendakwa telah mengakses maklumat sensitif peribadi untuk beberapa pekerja Twitter termasuk akaun peribadi di PayPal, Amazon, AT & T, MobileMe, Facebook, akaun Gmail perniagaan, dan akaun pendaftar Web untuk Twitter.com, menurut blog
Selepas berita tentang pelanggaran keselamatan menjadi terbuka, pengasas bersama Twitter Evan Williams telah dihubungi oleh TechCrunch untuk mengesahkan kecurian dokumen itu. Williams dilaporkan mengesahkan bahawa Twitter telah mengalami serangan beberapa minggu yang lalu, tetapi peristiwa itu tidak berkaitan dengan serangan itu pada April apabila seorang hacker mendapat akses ke beberapa akaun pengguna berprofil tinggi dan fungsi pentadbiran Twitter. Hack April juga dilakukan oleh cybercriminal
Bagaimana untuk mengeluarkan fail zip pada iphone dan ipad (tanpa aplikasi pihak ketiga)
Benci perlu memuat turun aplikasi pihak ketiga hanya untuk mengekstrak fail ZIP pada iPhone atau iPad anda? Inilah cara untuk membuatnya secara asli menggunakan aplikasi Fail terbina dalam.
Bagaimana untuk membatalkan akses aplikasi pihak ketiga dari akaun google anda
Bimbang tentang aplikasi mencuri data peribadi anda dan penyalahgunaan maklumat anda? Berikut adalah cara mudah untuk membatalkan akses aplikasi pihak ketiga dari akaun Google anda