视频: He Won, I WON - Trump's Busy Twitter Weekend (十一月 2024)
一位安全研究人员发现了Twitter代码中的一个错误,该错误可能导致某些第三方应用程序在未经用户明确许可的情况下访问私有直接消息。
许多Web应用程序允许用户使用其Twitter和Facebook帐户登录,而无需创建另一个帐户。 用户和应用程序开发人员可以方便地访问存储在社交网站上的用户数据。 IOActive的安全研究人员Cesar Cerrudo偶然发现了一个缺陷,即这些应用程序可能以比应有的级别更高的访问权限结束。
在IOActive Labs Research博客上的帖子中,Cerrudo描述了他如何测试Web应用程序(仍在开发中),该应用程序允许用户使用Twitter或Facebook登录。 在“登录”页面上,Cerrudo看到该应用程序将能够查看他的公共推文,在他的帐户上发帖,查看他的关注者,关注新朋友以及更改个人资料。 该页面还明确指出该应用程序将无法访问其直接消息或密码。
Cerrudo写道:“查看显示的网页后,我相信Twitter不会授予应用程序访问我的密码和直接消息的权限。我认为我的帐户是安全的,因此我登录并使用了该应用程序。”
更改权限级别
Cerrudo说,该应用程序实际上具有显示直接消息的功能,但是Twitter阻止了该应用程序成功执行这些操作,因为它仅具有“读取,写入”权限。 如果应用程序想要显示私人消息,则该应用程序将需要通过“授权应用程序”页面请求更高级别的访问。
但是,在登录和退出应用程序和Twitter几次之后,该应用程序开始显示他的直接消息。 Cerrudo说,检查了应用程序的设置后,突然发现它具有“读取,写入和查看直接消息”的权限。 他声称他从未见过“授权”应用程序页面。
Cerrudo写道:“这样做是未经授权的,Twitter不会显示有关此的任何消息。这是第三方应用程序获得对用户Twitter直接消息的访问权的简单绕过窍门。”
Cerrudo不知道为什么会这样,并通知了Twitter。 安全团队迅速做出反应,并解决了该问题,因此应用程序不应再随心所欲地获得增加的特权。 但是,修复此漏洞并不意味着所有设法绕过Twitter安全设置的应用程序都将重置为原始权限级别。
Cerrudo写道:“在安全修复之后,我测试的应用程序仍然有权访问直接消息,直到我将其撤消为止。”
检查您的应用
您应该定期审核有权访问您的Twitter和Facebook帐户的应用程序列表,以确保不会出现意外情况。 检查以确保所有授权的应用程序都是您添加的并且仍然需要的应用程序。 删除不再使用的任何内容。 另外,检查权限级别以确保设置正确。
在Twitter上,您可以单击屏幕顶部搜索框旁边的齿轮图标,然后选择设置。 选择应用程序后(在屏幕左侧),您将看到所有有权访问您帐户的应用程序以及添加帐户的时间。 权限级别列在应用程序名称的正下方。 如果其中任何一个都不在列表中,请单击“撤销访问”按钮。
在Facebook上,您可以单击屏幕右上角的齿轮图标,然后选择帐户设置。 选择“应用程序”后(在屏幕左侧),您将看到所有有权访问您帐户的应用程序,游戏,插件和网站,以及权限级别。 您可以单击“编辑”以调整权限,也可以单击“ x”将其完全删除。
它仅需几分钟,但值得确保第三方应用程序不会窃取您的个人数据。
