Video: Kuinka mitata tasavirtajännitettä Arduino ARDVC-01: lla? (Lokakuu 2024)
Turvallisuustutkija löysi virheen Twitter-koodiin, joka on saattanut johtaa siihen, että jotkut kolmannen osapuolen sovellukset pääsivät yksityisiin suoraviesteihin ilman käyttäjän nimenomaista suostumusta.
Monien Web-sovellusten avulla käyttäjät voivat kirjautua sisään käyttämällä Twitter- ja Facebook-tilejään uuden tilin luomisen sijaan. Se on kätevä käyttäjille ja sovelluskehittäjille pääsy sosiaalisen verkostoitumisen sivustolle tallennettuihin käyttäjätietoihin. IOActive-tietoturvatutkija Cesar Cerrudo kompastui virheeseen, jossa nämä sovellukset voisivat päästä korkeammalla pääsutasolla kuin heidän pitäisi olla.
IOActive Labs Research -blogissa julkaisussa Cerrudo kuvasi, kuinka hän testaa web-sovellusta (vielä kehitteillä), jonka avulla käyttäjät voivat kirjautua sisään Twitterissä tai Facebookissa. "Kirjaudu sisään" -sivulla Cerrudo näki, että sovellus pystyy näkemään hänen julkiset tweettinsä, lähettämään tililleen, nähdä seuraajia, seuraamaan uusia ihmisiä ja muuttamaan profiilia. Sivulla todettiin myös nimenomaisesti, että sovelluksella ei olisi pääsyä hänen suoraviesteihinsä tai salasanaansa.
"Katseltuaan näytettyä verkkosivua luotin siihen, että Twitter ei anna sovellukselle pääsyä salasanani ja suoraviesteihini. Minusta tuntui, että tilini oli turvassa, joten kirjauduin sisään ja pelasin sovelluksen kanssa", Cerrudo kirjoitti.
Lupatasojen muuttaminen
Sovelluksella oli tosiasiallisesti kyky näyttää suorat viestit, mutta Twitter esti sovelluksen suorittamasta näitä toimenpiteitä onnistuneesti, koska sillä oli vain "lukemisen, kirjoittamisen" oikeudet, Cerrudo sanoi. Jos sovellus halusi näyttää yksityiset viestit, sovelluksen on pyydettävä korkeampaa pääsytasoa "Valtuuta sovellus" -sivun kautta.
Sen jälkeen kun olet kirjautunut sisään ja ulos sovelluksesta ja Twitteristä muutaman kerran, sovellus alkoi näyttää hänen suoraa viestiään. Cerrudo tarkisti sovelluksen asetukset ja näki sen yhtäkkiä "lukevan, kirjoittavan ja näkevän suoraviestejä" -oikeudet, Cerrudo kertoi. Hän väitti, ettei hän koskaan nähnyt Valtuuta sovellus -sivua.
"Se teki niin ilman lupaa, ja Twitter ei näyttänyt mitään viestejä tästä. Se oli yksinkertainen ohitus temppu kolmansien osapuolten sovelluksille saada pääsy käyttäjän Twitterin suoriin viesteihin", Cerrudo kirjoitti.
Cerrudo ei pystynyt selvittämään miksi näin tapahtui ja ilmoitti Twitterille. Turvallisuusryhmä vastasi nopeasti ja sulki asian, joten sovellusten ei pitäisi enää olla mielivaltaisia saamaan lisäoikeuksia. Virheen korjaaminen ei kuitenkaan tarkoita, että mikään sovellus, joka onnistui ohittamaan Twitterin suojausasetukset, palautettiin alkuperäiselle käyttöoikeustasolle.
"Turvakorjauksen jälkeen testaamallani sovelluksella oli silti pääsy suoriin viesteihin, kunnes peruin sen", Cerrudo kirjoitti.
Tarkista sovelluksesi
Sinun on tarkistettava määräajoin luettelo sovelluksista, joilla on lupa käyttää Twitter- ja Facebook-tiliäsi varmistaaksesi, ettei ole odottamattomia yllätyksiä. Tarkista, että kaikki valtuutetut sovellukset ovat lisättyjä sovelluksia, joita tarvitset edelleen. Pudota kaikki, joita et enää käytä. Tarkista myös lupatasot varmistaaksesi, että asetukset ovat asianmukaiset.
Twitterissä voit napsauttaa hammaspyöräkuvaketta näytön yläosassa olevan hakukentän vieressä ja valita Asetukset. Kun olet valinnut Sovellukset (näytön vasemmassa reunassa), näet kaikki sovellukset, joilla on pääsy tiliisi, ja milloin se on lisätty. Lupatasot on lueteltu juuri sovelluksen nimen alla. Jos joku niistä ei saisi olla luettelossa, napsauta "Peruuta käyttöoikeudet" -painiketta.
Facebookissa voit napsauttaa vaihdekuvaketta näytön oikeassa yläkulmassa ja valita Tilin asetukset. Kun olet valinnut Sovellukset (näytön vasemmassa reunassa), näet kaikki sovellukset, pelit, laajennukset ja verkkosivustot, joilla on pääsy tiliisi, sekä lupatasot. Voit napsauttaa Muokkaa-painiketta säätääksesi oikeuksia tai "x" poistaaksesi sen kokonaan.
Se vie vain muutaman minuutin, mutta on syytä varmistaa, että kolmannen osapuolen sovellukset eivät tartu henkilötietoihisi.
