Video: Git Internals by John Britton of GitHub - CS50 Tech Talk (November 2024)
Raziskovalec varnosti je odkril napako v Twitterjevi kodi, kar je lahko povzročilo, da so nekatere tretje aplikacije dobile dostop do zasebnih neposrednih sporočil brez uporabnikove izrecne odobritve.
Številne spletne aplikacije omogočajo uporabnikom, da se prijavijo s svojimi računi Twitter in Facebook, namesto da bi ustvarili še en račun. Uporabnikom in razvijalcem aplikacij je primeren dostop do uporabniških podatkov, shranjenih na družabnem omrežju. Cesar Cerrudo, varnostni raziskovalec z IOActive, se je spopadel s pomanjkljivostjo, pri kateri bi te aplikacije lahko imele višji nivo dostopa, kot bi ga morale imeti.
V objavi na spletnem dnevniku IOActive Labs Research je Cerrudo opisal, kako testira spletno aplikacijo (še vedno v razvoju), ki je uporabnikom omogočala prijavo s Twitterjem ali Facebookom. Cerrudo je na strani "Prijava" videl, da bo aplikacija lahko videla njegove javne tvite, objavljala na njegovem računu, videvala svoje sledilce, spremljala nove ljudi in spreminjala profil. Stran je tudi izrecno navedla, da aplikacija ne bo imela dostopa do svojih neposrednih sporočil ali gesla.
"Po ogledu prikazane spletne strani sem zaupal, da Twitter ne bo dovolil aplikaciji dostopa do mojega gesla in neposrednih sporočil. Čutil sem, da je moj račun varen, zato sem se prijavil in igral z aplikacijo, " je zapisal Cerrudo.
Spreminjanje ravni dovoljenj
Aplikacija je dejansko imela možnost prikazovanja neposrednih sporočil, toda Twitter je aplikaciji preprečil uspešno izvajanje teh dejanj, ker je imela samo dovoljenja za »branje, pisanje«, je dejal Cerrudo. Če bi aplikacija želela prikazati zasebna sporočila, bi morala aplikacija zahtevati višjo raven dostopa na strani "Pooblasti aplikacijo".
Toda po nekajkratni prijavi v aplikacijo in Twitterju je aplikacija začela prikazovati njegova neposredna sporočila. Cerrudo je preveril nastavitev aplikacije in videl, da je nenadoma dobil dovoljenja za »branje, pisanje in ogled neposrednih sporočil«, je dejal Cerrudo. Trdil je, da ni nikoli videl strani z aplikacijo Pooblasti.
"To je storil, ne da bi imel pooblastilo, in Twitter ni prikazal nobenih sporočil o tem. To je bil preprost bypass trik za tretje aplikacije, da bi pridobili dostop do uporabnikovih neposrednih sporočil, " je zapisal Cerrudo.
Cerrudo ni mogel ugotoviti, zakaj se to dogaja, in je obvestil Twitter. Varnostna skupina se je takoj odzvala in vprašanje zaprla, tako da vloge ne bi smele biti več samovoljne s pridobitvijo večjih privilegijev. Vendar odpravljanje napake ne pomeni, da je bila nobena aplikacija, ki ji je uspelo obiti varnostne nastavitve Twitterja, ponastavljena na prvotne ravni dovoljenj.
"Po varnostnem popravku je imela aplikacija, ki sem jo preizkusila, še vedno dostop do neposrednih sporočil, dokler je nisem preklicala, " je zapisal Cerrudo.
Preverite svoje aplikacije
Občasno morate pregledati seznam aplikacij, ki imajo dovoljenje za dostop do vaših računov Twitter in Facebook, da se prepričate, da ni nepričakovanih presenečenj. Preverite, ali so vse pooblaščene aplikacije aplikacije, ki ste jih dodali in jih še vedno potrebujejo. Spustite vse, česar ne uporabljate več. Preverite tudi ravni dovoljenj, da preverite, ali so nastavitve ustrezne.
Na Twitterju lahko kliknete ikono zobnika poleg iskalnega polja na vrhu zaslona in izberete Nastavitve. Ko izberete Aplikacije (na levi strani zaslona), boste videli vse aplikacije, ki imajo dostop do vašega računa in kdaj so ga dodali. Ravni dovoljenj so navedene tik pod imenom aplikacije. Če nobenega od njih ne bi bilo na seznamu, kliknite gumb "Prekliči dostop".
Na Facebooku lahko v zgornjem desnem kotu zaslona kliknete ikono zobnika in izberete Nastavitve računa. Ko izberete Aplikacije (na levi strani zaslona), boste videli vse aplikacije, igre, vtičnike in spletna mesta, ki imajo dostop do vašega računa, skupaj s stopnjami dovoljenj. Če želite prilagoditi dovoljenja, kliknite »Uredi« ali »x«, da ga v celoti odstranite.
To traja le nekaj minut, vendar je vredno zagotoviti, da aplikacije drugih proizvajalcev ne bodo zagrabile vaših osebnih podatkov.