الباحث: عيب تويتر أعطى تطبيقات طرف ثالث الوصول غير المصرح به إلى الرسائل الخاصة

المستخدمون الذين قاموا بتسجيل الدخول إلى طرف ثالث قد تكون تطبيقات الويب أو الهاتف المحمول التي تستخدم حساباتهم على تويتر قد أعطت تلك التطبيقات حق الوصول إلى رسائلهم "المباشرة" الخاصة بتويتر الخاصة بهم دون معرفة ذلك ، وفقًا لسيزار سيرودو ، كبير مسئولي التقنية في شركة الاستشارات الأمنية IOActive.

كانت المشكلة نتيجة عيب في واجهة برمجة تطبيقات Twitter (واجهة برمجة التطبيقات) التي أدت إلى عدم إطلاع المستخدمين بشكل صحيح على الأذونات التي سيحصل عليها التطبيق على nts بمجرد منح الوصول. وصف سيرودو المشكلة وشرح كيف اكتشفها في مشاركة مدونة نشرت يوم الثلاثاء.

يجب تسجيل التطبيقات التي تسمح للمستخدمين بتسجيل الدخول بحساباتهم على تويتر باستخدام Twitter على //dev.twitter.com/apps. خلال التسجيل ، يجب على مطوريهم الإعلان عن مستوى الوصول إلى التطبيقات على حسابات الأشخاص: "للقراءة فقط" ، "القراءة والكتابة" أو "القراءة والكتابة والوصول إلى الرسائل المباشرة."

[المزيد من القراءة: How لإزالة البرامج الضارة من جهاز كمبيوتر يعمل بنظام Windows لديك

عندما يحاول المستخدمون تسجيل الدخول إلى مثل هذا التطبيق لأول مرة باستخدام حساباتهم على Twitter ، يتم إعادة توجيههم إلى صفحة تفويض على موقع Twitter على الويب تسرد الأذونات المطلوبة من قبل التطبيق المعين.

قال Cerrudo إنه اكتشف المشكلة أثناء اختباره لأحد التطبيقات التي طورها صديق لديه إذن "القراءة والكتابة والوصول إلى الرسائل المباشرة" المعلن مع Twitter.

عند تسجيل الدخول لأول مرة إلى التطبيق مع Twitter الحساب ، تمت إعادة توجيهه إلى صفحة تفويض أخبرته أن التطبيق سيكون قادرًا على قراءة التغريدات من جدوله الزمني ، ومعرفة المستخدمين الذين يتبعهم ، ومتابعة المستخدمين الجدد نيابة عنه ، وتحديث ملف التعريف الخاص به ormation و post tweets بالنيابة عنه ، على حد قوله. لاحظت الصفحة بوضوح أن التطبيق لن يتمكن من الوصول إلى الرسائل المباشرة أو كلمة المرور الخاصة بالحساب.

"بعد مشاهدة صفحة الويب المعروضة ، كنت على ثقة من أن تويتر لن يمنح التطبيق حق الوصول إلى كلمة المرور والرسائل المباشرة". كتب على المدونة. "شعرت أن حسابي آمن ، لذلك قمت بتسجيل الدخول والتشغيل مع التطبيق."

لاحظ الباحث أن التطبيق لديه وظيفة للوصول إلى الرسائل المباشرة وعرضها ، ولكن لا يبدو أن الميزة تعمل. وهذا منطقي لأنه لم يُطلب منه منح هذا الإذن.

ومع ذلك ، بعد تسجيل الدخول والخروج من التطبيق وتويتر عدة مرات ، بدأت رسائله المباشرة تظهر في التطبيق. عند التحقق من قائمة التطبيقات المصرح لها بالتفاعل مع حساب Twitter الخاص به (الإعدادات> التطبيقات) ، لاحظ أن التطبيق لديه بالفعل أذونات القراءة والكتابة والوصول إلى الرسائل المباشرة.

"أدركت أن هذا كان أمانًا كبيرًا "." قال Cerrudo.

أكّد الباحث الثلاثاء أنه نجح في إعادة إنتاج السلوك عدة مرات عن طريق إلغاء الوصول إلى التطبيق والدخول في عملية التفويض مرة أخرى دون أن يتم تحذيره من أن التطبيق سيكون قادرًا على قراءة رسائله الخاصة. وقال ان القضية أبلغت بتويتر في 16 يناير وتمت معالجتها في أقل من 24 ساعة. <قالوا ان المشكلة حدثت بسبب كود معقد وافتراضات غير صحيحة ومصداقية.

ومع ذلك ، لا يبدو أن إصلاح Twitter ينطبق بأثر رجعي. بعد أن قام تويتر بتثبيت هذه المشكلة ، كان تطبيق Cerrudo يختبر أن وصوله إلى حسابه استمر في عرض الرسائل المباشرة على الرغم من عدم حصوله على إذن منه للقيام بذلك ، على حد قول

يجب على مستخدمي تويتر التحقق مما إذا كان أي من التطبيقات التي أجازوها في الماضي قد تمكنوا من الوصول إلى رسائلهم المباشرة دون علمهم ، على حد قول سيرودو. يمكن القيام بذلك من خلال مراجعة أذوناتهم على صفحة إعدادات Twitter> التطبيقات.

قرر Cerrudo جعل هذه المشكلة عامة لأن ذلك قد يكون له تداعيات خطيرة ولأن تويتر لم يصدر نصيحة عامة أو إعلانًا عن ذلك. وقال إن الشركة يجب أن تحتفظ بصفحة مخصصة يمكنها من خلالها إعلام المستخدمين بشأن مشكلات الأمان.

لم يرد تويتر على الفور على طلب للتعليق.