Forscher: Twitter-Fehler gab Drittanbieter-Apps unberechtigten Zugriff auf private Nachrichten

Benutzer, die sich bei Drittanbietern angemeldet haben Web - oder mobile Anwendungen, die ihre Twitter - Konten verwenden, hätten diesen Anwendungen möglicherweise Zugang zu ihren privaten Twitter - Nachrichten gewährt, ohne es zu wissen, so Cesar Cerrudo, Chief Technology Officer der Sicherheitsberatungsfirma IOActive.

Das Problem ist das Ergebnis von ein Fehler in der API von Twitter (Anwendungsprogrammierschnittstelle), der dazu führte, dass Benutzer nicht richtig darüber informiert wurden, welche Berechtigungen eine Anwendung auf ihrem Konto hat nts einmal gewährt Zugriff. Cerrudo beschrieb das Problem und erklärte, wie er es in einem am Dienstag veröffentlichten Blogpost herausgefunden habe.

Anwendungen, die es Benutzern erlauben, sich mit ihren Twitter-Accounts anzumelden, müssen bei Twitter unter //dev.twitter.com/apps registriert werden. Bei der Registrierung müssen die Entwickler die Zugriffsebene festlegen, die die Anwendungen auf die Konten der Benutzer haben: "Nur lesen", "Lesen und Schreiben" oder "Lesen, Schreiben und Zugriff auf direkte Nachrichten".

[Weitere Informationen: Wie? Malware von Ihrem Windows-PC entfernen]

Wenn Benutzer versuchen, sich zum ersten Mal mit ihren Twitter-Konten bei einer solchen Anwendung anzumelden, werden sie auf eine Autorisierungsseite auf der Twitter-Website weitergeleitet, auf der die von der jeweiligen Anwendung angeforderten Berechtigungen aufgeführt sind

Cerrudo sagte, dass er das Problem entdeckt habe, während er eine Anwendung getestet habe, die von einem Freund entwickelt wurde, der mit Twitter eine "Lese-, Schreib- und Zugriff auf direkte Nachrichten" -Abfrage hatte.

Als er sich zuerst mit seinem Twitter in der Anwendung anmeldete Account wurde er auf eine Autorisierungsseite weitergeleitet, die ihm mitteilte, dass die Anwendung Tweets aus seiner Timeline lesen, sehen kann, welchen Benutzern er folgt, neue Benutzer in seinem Namen folgen, sein Profil inf aktualisieren Ormation und Post Tweets in seinem Namen, sagte er. Auf der Seite wurde deutlich darauf hingewiesen, dass die Anwendung nicht auf direkte Nachrichten oder das Kennwort des Kontos zugreifen kann.

"Nach dem Anzeigen der angezeigten Webseite vertraute ich darauf, dass Twitter der Anwendung keinen Zugriff auf mein Kennwort und die direkten Nachrichten gewähren würde" schrieb auf dem Blog. "Ich fühlte, dass mein Konto sicher war, also habe ich mich angemeldet und mit der Anwendung gespielt."

Der Benutzer bemerkte, dass die Anwendung Funktionen zum Zugriff und zum Anzeigen von Direktnachrichten hatte, aber die Funktion schien nicht zu funktionieren. Dies machte Sinn, weil er nicht gebeten worden war, diese Erlaubnis zu erteilen.

Jedoch, nach dem An- und Abmelden der Anwendung und Twitter ein paar Mal, begannen seine direkten Nachrichten in der Anwendung zu erscheinen. Beim Überprüfen der Liste der Anwendungen, die mit seinem Twitter-Account interagieren können (Einstellungen> Apps), bemerkte er, dass die Anwendung tatsächlich Lese-, Schreib- und Zugriffsrechte für direkte Nachrichten hatte.

"Ich erkannte, dass dies ein riesiger Sicherheitsdienst war ", sagte Cerrudo.

Der Forscher bestätigte am Dienstag, dass er das Verhalten mehrmals erfolgreich reproduziert hatte, indem er den Zugang zur App widerrief und den Autorisierungsprozess erneut durchführte ohne gewarnt zu werden, dass die App seine privaten Nachrichten lesen könnte. Das Problem wurde am 16. Januar an Twitter gemeldet und in weniger als 24 Stunden beantwortet.

"Sie sagten, das Problem sei auf komplexen Code und falsche Annahmen und Validierungen zurückzuführen", sagte Cerrudo im Blogpost

Das Update von Twitter scheint jedoch nicht rückwirkend zu gelten. Nachdem Twitter das Problem behoben hatte, testete die App, die Cerrudo gerade getestet hatte, dass der Zugriff auf sein Konto weiterhin direkte Nachrichten enthielt, obwohl er nie die Erlaubnis von ihm erhielt, dies zu tun, sagte er.

Twitter-Nutzer sollten prüfen, ob eine der Apps, die sie in der Vergangenheit autorisiert haben, auch ohne ihr Wissen Zugang zu ihren direkten Nachrichten erhalten, sagte Cerrudo. Dies können Sie tun, indem Sie ihre Berechtigungen auf der Seite Twitter-Einstellungen> Apps überprüfen.

Cerrudo hat beschlossen, dieses Problem öffentlich zu machen, da dies schwerwiegende Folgen haben kann und Twitter keine öffentlichen Hinweise oder Ankündigungen veröffentlicht hat. Das Unternehmen sollte eine spezielle Seite einrichten, auf der es die Benutzer über Sicherheitsprobleme informieren kann, sagte er.

Twitter hat nicht sofort auf eine Anfrage nach einem Kommentar reagiert.