วีดีโอ: Faith Evans feat. Stevie J – "A Minute" [Official Music Video] (กันยายน 2024)
นักวิจัยด้านความปลอดภัยได้ค้นพบข้อผิดพลาดในรหัสของ Twitter ซึ่งอาจส่งผลให้แอปพลิเคชันบุคคลที่สามบางรายสามารถเข้าถึงข้อความส่วนตัวโดยตรงโดยไม่ได้รับการอนุมัติจากผู้ใช้อย่างชัดเจน
แอปพลิเคชันบนเว็บจำนวนมากอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ด้วยบัญชี Twitter และ Facebook แทนที่จะสร้างบัญชีอื่น สะดวกสำหรับผู้ใช้และผู้พัฒนาแอปพลิเคชันสามารถเข้าถึงข้อมูลผู้ใช้ที่เก็บไว้ในเว็บไซต์เครือข่ายสังคม Cesar Cerrudo นักวิจัยด้านความปลอดภัยที่มี IOActive สะดุดข้ามข้อบกพร่องซึ่งแอปพลิเคชันเหล่านี้อาจปิดท้ายด้วยการเข้าถึงระดับสูงกว่าที่ควรจะเป็น
ในโพสต์บนบล็อกของ IOActive Labs Research Cerrudo อธิบายว่าเขากำลังทดสอบเว็บแอปพลิเคชั่น (ยังอยู่ระหว่างการพัฒนา) ซึ่งอนุญาตให้ผู้ใช้ลงชื่อเข้าใช้ด้วย Twitter หรือ Facebook ที่หน้า "ลงชื่อเข้าใช้" Cerrudo เห็นว่าแอปพลิเคชันจะสามารถดูทวีตสาธารณะของเขาโพสต์ในบัญชีของเขาดูผู้ติดตามของเขาติดตามผู้คนใหม่และทำการเปลี่ยนแปลงโปรไฟล์ หน้าดังกล่าวระบุอย่างชัดเจนว่าแอปพลิเคชันจะไม่สามารถเข้าถึงข้อความโดยตรงหรือรหัสผ่านของเขาได้
"หลังจากดูหน้าเว็บที่แสดงฉันเชื่อว่า Twitter จะไม่อนุญาตให้แอปพลิเคชันเข้าถึงรหัสผ่านและข้อความโดยตรงของฉันฉันรู้สึกว่าบัญชีของฉันปลอดภัยดังนั้นฉันจึงลงชื่อเข้าใช้และเล่นกับแอปพลิเคชัน" Cerrudo เขียน
การเปลี่ยนระดับสิทธิ์
แอปพลิเคชันมีความสามารถในการแสดงข้อความโดยตรง แต่ Twitter บล็อกแอปพลิเคชันไม่ให้ดำเนินการดังกล่าวได้สำเร็จเนื่องจากมีเพียงสิทธิ์ "อ่านเขียน" Cerrudo กล่าว หากแอปพลิเคชันต้องการแสดงข้อความส่วนตัวแอปพลิเคชันจะต้องร้องขอระดับการเข้าถึงที่สูงขึ้นผ่านหน้า "อนุญาตแอป"
อย่างไรก็ตามหลังจากเข้าสู่ระบบและออกจากแอปพลิเคชันและ Twitter สองสามครั้งแอปพลิเคชันเริ่มแสดงข้อความโดยตรงของเขา Cerrudo ตรวจสอบการตั้งค่าของแอปพลิเคชันและเห็นว่าทันใดนั้นมีสิทธิ์ "อ่านเขียนและดูข้อความโดยตรง" Cerrudo กล่าว เขาอ้างว่าเขาไม่เคยเห็นหน้าแอปอนุญาต
"มันทำได้โดยไม่ได้รับอนุญาตและ Twitter ไม่ได้แสดงข้อความใด ๆ เกี่ยวกับเรื่องนี้มันเป็นเคล็ดลับบายพาสง่ายๆสำหรับแอปพลิเคชันของบุคคลที่สามเพื่อให้สามารถเข้าถึงข้อความโดยตรงของผู้ใช้ Twitter" Cerrudo เขียน
Cerrudo ไม่สามารถระบุได้ว่าเหตุใดจึงเกิดเหตุการณ์นี้ขึ้นและแจ้งเตือน Twitter ทีมรักษาความปลอดภัยตอบสนองโดยทันทีและปิดปัญหาดังนั้นแอปพลิเคชันไม่ควรได้รับสิทธิ์เพิ่มขึ้นอีกต่อไป อย่างไรก็ตามการแก้ไขข้อบกพร่องไม่ได้หมายความว่าแอปพลิเคชันใด ๆ ที่จัดการเพื่อหลีกเลี่ยงการตั้งค่าความปลอดภัยของ Twitter ถูกรีเซ็ตเป็นระดับสิทธิ์ดั้งเดิม
"หลังจากการแก้ไขความปลอดภัยแอปพลิเคชันที่ฉันทดสอบยังคงสามารถเข้าถึงข้อความโดยตรงจนกว่าฉันจะเพิกถอนมัน" Cerrudo เขียน
ตรวจสอบใบสมัครของคุณ
คุณควรตรวจสอบรายการแอพพลิเคชั่นที่ได้รับอนุญาตให้เข้าถึงบัญชี Twitter และ Facebook ของคุณเป็นระยะเพื่อให้แน่ใจว่าไม่มีความประหลาดใจที่คาดไม่ถึง ตรวจสอบเพื่อให้แน่ใจว่าแอปพลิเคชันทั้งหมดที่ได้รับอนุญาตเป็นแอปพลิเคชันที่คุณเพิ่มและยังต้องการ วางสิ่งที่คุณไม่ได้ใช้อีกต่อไป ตรวจสอบระดับสิทธิ์เพื่อให้แน่ใจว่าการตั้งค่านั้นเหมาะสม
บน Twitter คุณสามารถคลิกที่ไอคอนรูปเฟืองถัดจากช่องค้นหาที่ด้านบนของหน้าจอแล้วเลือกการตั้งค่า หลังจากเลือกแอพ (ทางด้านซ้ายของหน้าจอ) คุณจะเห็นแอพทั้งหมดที่สามารถเข้าถึงบัญชีของคุณและเมื่อมีการเพิ่ม ระดับสิทธิ์แสดงอยู่ด้านล่างชื่อแอปพลิเคชัน หากสิ่งเหล่านี้ไม่ควรอยู่ในรายการให้คลิกที่ปุ่ม "เพิกถอนการเข้าถึง"
บน Facebook คุณสามารถคลิกที่ไอคอนเฟืองที่มุมขวาบนของหน้าจอและเลือกการตั้งค่าบัญชี หลังจากเลือกแอป (ทางด้านซ้ายของหน้าจอ) คุณจะเห็นแอปพลิเคชันเกมปลั๊กอินและเว็บไซต์ทั้งหมดที่สามารถเข้าถึงบัญชีของคุณพร้อมกับระดับการอนุญาต คุณสามารถคลิกที่แก้ไขเพื่อปรับการอนุญาตหรือ "x" เพื่อลบมันทั้งหมด
ใช้เวลาเพียงไม่กี่นาที แต่คุ้มค่าที่จะรับรองว่าแอปของบุคคลที่สามไม่ได้ดึงข้อมูลส่วนตัวของคุณ
