Video: Enya - Only Time (Official 4K Music Video) (Septembra 2024)
Výskumník v oblasti bezpečnosti odhalil chybu v kóde Twitter, ktorá mohla mať za následok, že niektoré aplikácie tretích strán získali prístup k súkromným priamym správam bez výslovného súhlasu používateľa.
Mnoho webových aplikácií umožňuje používateľom prihlásiť sa pomocou svojich účtov Twitter a Facebook namiesto vytvorenia ďalšieho účtu. Je to výhodné pre používateľov a vývojárov aplikácií, ktorí majú prístup k používateľským údajom uloženým na stránke sociálnych sietí. Cesar Cerrudo, výskumný pracovník v oblasti bezpečnosti s IOActive, narazil na chybu, v ktorej by tieto aplikácie mohli skončiť s vyššou úrovňou prístupu, ako by mali mať.
V príspevku na blogu IOActive Labs Research Cerrudo opísal, ako testuje webovú aplikáciu (stále sa vyvíja), ktorá používateľom umožňovala prihlásiť sa pomocou Twitteru alebo Facebooku. Na stránke „Prihlásiť sa“ Cerrudo videl, že aplikácia bude môcť zobraziť svoje verejné tweety, uverejňovať príspevky na jeho účte, sledovať svojich sledovateľov, sledovať nových ľudí a meniť profil. Stránka tiež výslovne uviedla, že aplikácia nebude mať prístup k svojim priamym správam alebo k heslu.
„Po prezeraní zobrazenej webovej stránky som veril, že Twitter nedá aplikácii prístup k môjmu heslu a priamym správam. Cítil som, že môj účet je v bezpečí, a tak som sa prihlásil a hral som sa s aplikáciou, “ napísal Cerrudo.
Zmena úrovní povolení
Aplikácia v skutočnosti mala schopnosť zobrazovať priame správy, ale Twitter zablokoval aplikáciu v úspešnom vykonaní týchto akcií, pretože mala iba oprávnenie na čítanie a zápis, uviedol Cerrudo. Ak by aplikácia chcela zobraziť súkromné správy, musela by požiadať o vyššiu úroveň prístupu prostredníctvom stránky „Autorizovať aplikáciu“.
Po niekoľkých prihláseniach a odhláseniach z aplikácie a Twitteru však aplikácia začala zobrazovať svoje priame správy. Cerrudo skontroloval nastavenie aplikácie a videl, že náhle má oprávnenie čítať, písať a vidieť priame správy, povedal Cerrudo. Tvrdil, že nikdy nevidel stránku aplikácie Autorizovať.
„Urobil tak bez povolenia a Twitter o tom nevykazoval žiadne správy. Aplikáciám tretích strán to bol jednoduchý trik, ako získať prístup k priamym správam používateľa Twitter, “ napísal Cerrudo.
Cerrudo nedokázal prísť na to, prečo sa to stalo, a oznámil to Twitter. Bezpečnostný tím okamžite zareagoval a problém uzavrel, takže aplikácie by už nemali byť svojvoľné získavať zvýšené oprávnenia. Oprava chyby však neznamená, že všetky aplikácie, ktorým sa podarilo obísť nastavenia zabezpečenia Twitteru, boli obnovené na pôvodné úrovne povolení.
„Po oprave zabezpečenia mala aplikácia, ktorú som testoval, stále prístup k priamym správam, kým som ju neodvolala, “ napísal Cerrudo.
Skontrolujte svoje aplikácie
Zoznam aplikácií, ktoré majú povolenie na prístup k účtom Twitter a Facebook, by ste mali pravidelne kontrolovať, aby ste sa uistili, že neexistujú neočakávané prekvapenia. Skontrolujte, či sú všetky autorizované aplikácie aplikácie, ktoré ste pridali, a stále ich potrebujete. Zahodte všetko, čo už nepoužívate. Skontrolujte aj úrovne povolení, aby ste sa uistili, že sú nastavenia vhodné.
Na Twitteri môžete kliknúť na ikonu ozubeného kolieska vedľa vyhľadávacieho poľa v hornej časti obrazovky a vybrať položku Nastavenia. Po výbere možnosti Aplikácie (na ľavej strane obrazovky) sa zobrazia všetky aplikácie, ktoré majú prístup k vášmu účtu a kedy bol pridaný. Úrovne povolení sú uvedené tesne pod názvom aplikácie. Ak by žiadny z nich nemal byť na zozname, kliknite na tlačidlo „Zrušiť prístup“.
Na Facebooku môžete kliknúť na ikonu ozubeného kolieska v pravom hornom rohu obrazovky a vybrať položku Nastavenia účtu. Po výbere možnosti Aplikácie (na ľavej strane obrazovky) sa zobrazia všetky aplikácie, hry, doplnky a webové stránky, ktoré majú prístup k vášmu účtu, spolu s úrovňami povolení. Kliknutím na položku Upraviť môžete upraviť oprávnenia alebo znak „x“ úplne odstrániť.
Trvá to iba pár minút, ale stojí za to zabezpečiť, aby aplikácie tretích strán nezachytávali vaše osobné údaje.
