Koti Securitywatch Twitter-sovellukset voivat silti twiittiä salasanan vaihdosta huolimatta

Twitter-sovellukset voivat silti twiittiä salasanan vaihdosta huolimatta

Video: 5 HYÖDYLLISTÄ ANDROID-SOVELLUSTA (Marraskuu 2024)

Video: 5 HYÖDYLLISTÄ ANDROID-SOVELLUSTA (Marraskuu 2024)
Anonim

Twitter siirtyi nopeasti lukitsemaan käyttäjätilit ja peruuttamaan istuntokemerkit viime viikon rikkomisen jälkeen, mutta näyttää siltä, ​​että jotkut tunnukset jätettiin aktiivisiksi, jolloin kolmansien osapuolten sovellukset voivat jatkaa Twitterin käyttöä vanhoilla käyttöoikeustiedoilla.

Jos olet yksi 250 000 Twitter-käyttäjästä, joka sai salasanan palautusviestin perjantaina, toivottavasti olet jo vaihtanut salasanasi. Jos käytät kolmannen osapuolen sovelluksia postittamiseen Twitteriin, on mahdollista, että nämä sovellukset käyttävät edelleen vanhoja käyttöoikeustietojasi. Poista sovellukset ja asenna ne uudelleen, jotta ne olisivat turvallisia.

Kuten ilmoitimme viikonlopun aikana SecurityWatchista, hyökkääjät varastivat käyttäjätunnuksia, sähköpostiosoitteita, istunnon merkkejä ja suolattuja ja hajautettuja salasanoja. Istuntotunnukset ovat erityisen tyyppisiä salausevästeitä, jotka ilmoittavat mikroblogissivustolle, että käyttäjä on jo kirjautunut sisään. Niin kauan kuin istunnon tunnus on edelleen voimassa (sitä ei ole vanhentunut, peruutettu tai poistettu), käyttäjät voivat palata takaisin Twitteriin ilman kirjautumista takaisin. joka kerta.

Näiden istuntokemerkkien peruuttaminen, kuten Twitter totesi tekevänsä, varmistaa, että hyökkääjät, jotka ovat onnistuneet sieppaamaan tokenit, eivät pääse tiliisi. Kun otetaan huomioon siellä olevien tietojen varastavien haittaohjelmien lukumäärä, jotka keräävät evästeitä tartunnan saaneista tietokoneista, tunnuksen nollaaminen on hankalaa käyttäjille (joudut kirjautumaan sisään), mutta tehokas pitämään hyökkääjät pois.

Sovellukset voivat kirjautua sisään

On kuitenkin ilmoitettu, että jotkut kolmannen osapuolen sovellusten käyttämiin tokeneihin eivät vaikuttaneet. Uuden salasanan luominen nollausilmoituksen saatuaan ei estänyt Twitterin omia mobiilisovelluksia tai työpöytäsovelluksia, kuten TweetDeck, lähettämästä uusia viestejä, The Register kertoi. Oma Max Eddy sanoi, että hänen oli vaihdettava salasanat Twitter-tiliinsä viikonloppuna, mutta yksikään hänen käyttämistään kolmannen osapuolen sovelluksista ei kehottanut häntä päivittämään salasana uudemmalla.

Twitter-sovellusliittymää käyttävät sovellukset luottavat tyypillisesti OAuthiin, avoimeen standardiin todentamiseen useissa sivustoissa. Istunnon merkinnät Twitter peruutettiin, ei näytä vaikuttaneen sovelluksiin, jotka käyttivät OAuthia todentamisen käsittelemiseen. Yksi henkilö kertoi Rekisterille, että sovellukset eivät kysy uutta salasanaa, ennen kuin se poistettiin ja asennettiin uudelleen.

"Kun salasana vaihdetaan yhdessä laitteessa ja sinulla on kaksi muuta laitetta kirjautuneena sisään vanhalla salasanalla (esimerkiksi), myyjän on lopetettava kaikki kyseisen tilin avoimet istunnot", McAfee's Sean Duca kertoi Rekisterille.

OAuthia käyttävät sovellukset vastaanottavat salausavaintunnuksen ensimmäisen kerran, kun se todentaa verkkopalvelun, ja lähettää avaimet seuraavissa käynteissä, IOActive Labsin tekninen johtaja Cesar Cerrudo kertoi SecurityWatchille. Tämän avulla kolmannen osapuolen sovellukset voivat työskennellä kyseisen palvelun kanssa lähettämättä toistuvasti salasanatietoja.

Cerrudo ei ollut vielä tarkastellut tätä erityistilannetta, joten ei tarjonnut mitään arvauksia siitä, mitä tapahtui. SecurityWatch on tavoittanut Twitterin siitä, kuinka se kohtelee OAuth-istuntoja ja odottaa kuulevansa asiaa.

Politiikan mukaan Twitter ei "tällä hetkellä vanhenna käyttöoikeuslistoja", mukaan yrityksen kehittäjille suunnattuun ohjeeseen OAuthin käytöstä. "Käyttöoikeustunnuksesi on virheellinen, jos käyttäjä hylkää nimenomaisesti hakemuksesi heidän asetuksistaan ​​tai jos Twitter-järjestelmänvalvoja keskeyttää sovelluksesi", ohjeissa todettiin.

Tämä olisi toinen OAuthiin liittyvä tapaus Twitterin kanssa viime viikkoina. Cerrudo kehotti äskettäin Twitteriä ilmoittamatta käyttäjille lupaongelmasta, jonka se oli hiljaa korjannut.

Seuraa Fahmidasta lisää, seuraa häntä Twitterissä @zdFYRashid.

Twitter-sovellukset voivat silti twiittiä salasanan vaihdosta huolimatta