Video: 8 Twitter Secrets You DIDN'T Know (Nobyembre 2024)
Ang isang security researcher ay walang takip sa isang code sa Twitter na maaaring nagresulta sa ilang mga application ng third-party na nakakuha ng access sa mga pribadong direktang mensahe nang walang pahintulot na pahintulot ng gumagamit.
Maraming mga application sa Web ang nagpapahintulot sa mga gumagamit na mag-sign in gamit ang kanilang mga account sa Twitter at Facebook sa halip na lumikha ng isa pang account. Maginhawa para sa mga gumagamit at maaaring mai-access ng mga developer ng application ang data ng gumagamit na nakaimbak sa social networking site. Si Cesar Cerrudo, isang tagapagpananaliksik ng seguridad na may IOActive, ay natagod sa isang kamalian kung saan ang mga application na ito ay maaaring masikip ng mas mataas na antas ng pag-access kaysa sa nararapat.
Sa isang post sa blog ng IOActive Labs Research, inilarawan ni Cerrudo kung paano siya sumusubok sa isang aplikasyon sa Web (nasa ilalim pa rin ng pag-unlad) na pinapayagan ang mga gumagamit na mag-sign in sa Twitter o Facebook. Sa pahina na "Mag-sign in", nakita ni Cerrudo na ang application ay maaaring makita ang kanyang mga pampublikong tweet, mag-post sa kanyang account, makita ang kanyang mga tagasunod, sundin ang mga bagong tao, at gumawa ng mga pagbabago sa profile. Malinaw ding sinabi ng pahina na ang application ay hindi magkakaroon ng access sa kanyang Mga Direct na mensahe o kanyang password.
"Matapos tingnan ang ipinakita na web page, nagtiwala ako na hindi bibigyan ng Twitter ang application ng pag-access sa aking password at mga direktang mensahe. Naramdaman kong ligtas ang aking account, kaya't nag-sign in ako at naglaro kasama ang application, " isinulat ni Cerrudo.
Pagbabago ng Mga Antas ng Pahintulot
Ang application ay talagang may kakayahang ipakita ang Mga Direct na mensahe, ngunit hinarang ng Twitter ang application mula sa matagumpay na pagsasagawa ng mga pagkilos na ito sapagkat mayroon lamang mga pahintulot na "basahin, isulat", sinabi ni Cerrudo. Kung nais ng application na ipakita ang mga pribadong mensahe, ang application ay kailangang humiling ng mas mataas na antas ng pag-access sa pamamagitan ng isang "Awtorisadong app" na pahina.
Gayunpaman, pagkatapos ng pag-log in at labas ng application at Twitter ng ilang beses, ang application ay nagsimulang ipakita ang kanyang mga direktang mensahe. Sinuri ni Cerrudo ang setting ng application at nakita niya ito ay biglang "basahin, isulat, at makita ang mga direktang mensahe" na pahintulot, sinabi ni Cerrudo. Sinabi niya na hindi niya nakita ang pahina ng app ng Awtorisado.
"Ginawa ito nang walang pagkakaroon ng pahintulot, at ang Twitter ay hindi nagpakita ng anumang mga mensahe tungkol dito. Ito ay isang simpleng bypass na trick para sa mga third-party na aplikasyon upang makakuha ng pag-access sa mga direktang mensahe ng isang gumagamit, " isinulat ni Cerrudo.
Hindi maisip ni Cerrudo kung bakit nangyari ito at sinabi sa Twitter. Kaagad na tumugon ang security team at isinara ang isyu, kaya hindi na dapat na ang mga aplikasyon ay di-makatwirang nakakakuha ng mas maraming pribilehiyo. Gayunpaman, ang pag-aayos ng kapintasan ay hindi nangangahulugang anuman sa mga application na pinamamahalaang upang malampasan ang mga setting ng seguridad ng Twitter ay na-reset sa mga antas ng orihinal na pahintulot.
"Matapos ang pag-aayos ng seguridad, ang application na nasubukan ko ay mayroon pa ring pag-access sa mga direktang mensahe hanggang sa binawasan ko ito, " sulat ni Cerrudo.
Suriin ang Iyong Mga Aplikasyon
Dapat mong pana-panahong i-audit ang listahan ng mga application na may pahintulot upang ma-access ang iyong mga account sa Twitter at Facebook upang matiyak na walang mga inaasahang sorpresa. Suriin upang matiyak na ang lahat ng mga application na pinahintulutan ay mga application na iyong idinagdag, at kailangan mo pa rin. I-drop ang anumang hindi mo na ginagamit. Gayundin, suriin ang mga antas ng pahintulot upang matiyak na naaangkop ang mga setting.
Sa Twitter, maaari kang mag-click sa icon ng gears sa tabi ng kahon ng paghahanap sa tuktok ng screen at piliin ang Mga Setting. Matapos piliin ang sa Apps (sa kaliwang bahagi ng screen), makikita mo ang lahat ng mga app na may access sa iyong account, at kapag naidagdag ito. Ang mga antas ng pahintulot ay nakalista sa ibaba lamang ng pangalan ng aplikasyon. Kung ang alinman sa mga ito ay hindi dapat nasa listahan, mag-click sa pindutan ng "Bawiin ang Pag-access".
Sa Facebook, maaari kang mag-click sa icon ng gears sa tuktok na sulok ng screen at piliin ang Mga Setting ng Account. Matapos piliin ang sa Apps (sa kaliwang bahagi ng screen), makikita mo ang lahat ng mga application, laro, plugin, at mga website na may access sa iyong account, kasama ang mga antas ng pahintulot. Maaari kang mag-click sa I-edit upang ayusin ang mga pahintulot o ang "x" upang alisin ito nang buo.
Tumatagal lamang ng ilang minuto, ngunit sulit na tiyakin na ang mga third-party na apps ay hindi nakakakuha ng iyong personal na data.
