Ошибка в Twitter предоставляла доступ к личным сообщениям пользователей

image

Теги: Twitter, уязвимость, личная переписка

Из-за уязвимости некоторые разрешения, например, на доступ к личным сообщениям, оставались скрытыми для пользователей.

В социальной сети Twitter устранена ошибка, раскрывавшая личную переписку пользователей сторонним лицам. Проблема проявлялась при использовании приложений, запрашивающих PIN-код для завершения процесса авторизации, вместо применения протокола Oauth. В результате, некоторые разрешения, например, на доступ к личным сообщениям, оставались скрытыми для пользователей Twitter.

По словам исследователя Теренса Идена (Terence Eden), обнаружившего уязвимость, проблема заключается в том, как официальный API Twitter обрабатывает ключи и секреты, к которым разработчики приложений могут получить доступ без авторизации.

«Несколько лет назад утекли официальные ключи API Twitter. Это значит, что разработчики приложений, не одобренных Twitter, по-прежнему могут получить доступ к программному интерфейсу», - пояснил специалист.

Для предотвращения злоупотреблений социальная платформа реализовала ряд мер, в частности ограничение URL обратного вызова, то есть одобренное приложение может получить доступ только к предопределенному адресу. Однако, некоторые приложения не используют URL-адрес или не поддерживают функцию обратных вызовов. Для таких случаев Twitter предусмотрела дополнительный механизм авторизации – по PIN-коду.

«Вы авторизуетесь, вам предоставляется PIN, вы вводите PIN в приложение» и программа получает доступ к контенту в Twitter, говорит Иден. Он обнаружил, что в случае с такими приложениями экран OAuth в Twitter по какой-то причине отображает некорректную информацию. В результате пользователи считают, что у приложений нет доступа к частным сообщениям, хотя на самом деле он есть.

Иден передал информацию об уязвимости администрации Twitter. Проблема уже исправлена, а исследователь получил награду в размере $2 940.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.