The Bitcoin Gospel | VPRO documentary (2015)
A Twitter-fiókokat használó webes vagy mobil alkalmazások esetleg hozzáférhetnének a Twitter privát "közvetlen" üzeneteihez, anélkül, hogy tudnák ezt. "
Cesar Cerrudo, az IOActive biztonsági tanácsadó cég vezető technológiai tisztje. egy hiba a Twitter API-jában (alkalmazásprogramozási felület), ami azt eredményezte, hogy a felhasználók nem kaptak megfelelő tájékoztatást arról, hogy milyen engedélyek A nts egyszer megadta a hozzáférést. Cerrudo leírta a problémát, és elmagyarázta, hogyan fedezte fel azt egy kedden közzétett blogbejegyzésben.
Azok a alkalmazások, amelyek lehetővé teszik a felhasználók számára, hogy bejelentkezzenek a Twitter-fiókjukkal, a Twitteren a //dev.twitter.com/apps címen kell regisztrálni. A regisztráció során a fejlesztőknek nyilatkozniuk kell arról, hogy az alkalmazások milyen mértékben férnek hozzá az emberek számláihoz: "csak olvasható", "olvasni és írni" vagy "olvasni, írni és hozzáférni a közvetlen üzenetekhez."
[További olvasmány: Hogyan a rosszindulatú programok eltávolítása a Windows számítógépről]Amikor a felhasználók első alkalommal próbálják bejelentkezni egy ilyen alkalmazásba a Twitter-fiókjuk segítségével, átkerülnek egy engedélyezési oldalra a Twitter webhelyén, amely felsorolja az adott alkalmazás által kért engedélyeket.
Cerrudo azt mondta, hogy felfedezte a problémát, miközben tesztelt egy olyan alkalmazás által kifejlesztett egy barátja, aki "olvasni, írni és hozzáférést a közvetlen üzenetek" engedélyt bejelentett Twitter.
Amikor először jelentkezett be a kérelmet a Twitter fiókot átirányították egy engedélyezési lapra, amely tájékoztatta őt arról, hogy az alkalmazás képes lesz olvasni a tweetjeit az idővonaláról, megnézni, hogy mely felhasználók követik, követik az új felhasználókat a nevében, frissítik profilját inf ormation és post tweets nevében, mondta. Az oldal egyértelműen megjegyezte, hogy az alkalmazás nem tud hozzáférni a közvetlen üzenetekhez vagy a fiók jelszavához.
"Miután megnéztem a megjelenített weboldalt, bíztam benne, hogy a Twitter nem adná az alkalmazásnak a jelszavamhoz és a közvetlen üzenetekhez való hozzáférését" írta a blog. "Úgy éreztem, hogy a fiókom biztonságban volt, ezért bejelentkeztem és játszottam az alkalmazással."
A kutató észrevette, hogy az alkalmazásnak funkciói voltak a közvetlen üzenetek elérésére és megjelenítésére, de ez a funkció nem működött. Ez azért volt értelme, mert nem kapták meg ezt az engedélyt.
Azonban az alkalmazás és a Twitter néhány alkalommal történő bejelentkezése után közvetlen alkalmazásai megjelentek az alkalmazásban. Ellenõrizve a Twitter fiókjával való kapcsolattartásra jogosult alkalmazások listáját (Beállítások> Alkalmazások) észrevette, hogy az alkalmazás valójában rendelkezik a közvetlen üzenetek engedélyeinek olvasásával, írásával és elérésével.
"Rájöttem, hogy ez óriási biztonság volt "- mondta a kutató.
A kutató kedden megerősítette, hogy többször sikerrel reprodukálja a viselkedést azáltal, hogy visszavonja az alkalmazáshoz való hozzáférést, és újra megismétli az engedélyezési folyamatot anélkül, hogy figyelmeztetnék arra, hogy az alkalmazás képes lenne elolvasni privát üzenetét. A kérdést bejelentették a Twitterre január 16-án, és kevesebb mint 24 órában foglalkoztak velük.
"Azt mondták, hogy a probléma összetett kódok és helytelen feltételezések és érvényesítések miatt történt," mondta Cerrudo a blogbejegyzésben.
A Twitter fixje azonban nem alkalmazható visszamenőleges hatállyal. Miután a Twitter megszüntette a problémát, a Cerrudo nevű alkalmazás, amely már hozzáférést kapott a fiókjához, továbbra is közvetlen üzeneteket mutatott, annak ellenére, hogy soha nem kapott engedélyt tőle, ezt mondta.
A Twitter felhasználóknak ellenőrizniük kell, hogy a múltban felhatalmazott alkalmazások közül bármelyik hozzáférést kap-e a közvetlen üzenetéhez a tudásuk nélkül, mondta Cerrudo. Ezt a jogosultságokat a Twitter beállítások> Alkalmazások oldalán tekinthetjük meg.
Cerrudo úgy döntött, hogy nyilvánosságra hozza ezt a problémát, mert súlyos következményei lehetnek, és mivel a Twitter nem ad nyilvános tanácsadást vagy bejelentést róla. A vállalatnak egy külön oldalat kell fenntartania, ahol tájékoztatni tudja a felhasználókat a biztonsági kérdésekről.
A Twitter nem válaszolt azonnal a megjegyzésre vonatkozó kérelemre.
A szövetségi bíró Az Oracle bejelentette, hogy a TomorrowNow, az Oracle Siebel, a PeopleSoft és a JD Edwards harmadik féltől származó támogatási szolgáltatásait nyújtó alkalmazottak az Oracle és az SAP számára pénzügyi javaslatokat nyújtottak be a peres ügy megoldására az SAP leányvállalata, TomorrowNow felett. a termékcsaládok illegálisan letöltötték az Oracle támogatási rendszereiből származó anyagokat, és felhasználták őket az Oracle ügyfelek igénybevételére.
Az SAP azt mondta TomorrowNow a dolgozók "helytelen letöltéseket" tettek az Oracle webhelyéről, de elutasították az Oracle követeléseit egy szélesebb körű rosszindulatú minta miatt. Az SAP azóta költözött, hogy leállítsa a TomorrowNow-t, miután nem talált vevőt.
Bár a Windows számítógépes rendszerek beépített lemezhiba-ellenőrzővel rendelkeznek, amely számos parancssori beállítást kínál a merevlemez-meghajtó vizsgálatához Hibák és rossz ágazatok, mindig azt szeretném, ha egy harmadik féltől származó eszközt használnék erre. Azt hiszem, hogy egy harmadik féltől származó eszköz jobb lehetőségeket és szolgáltatásokat kínálhat.
Merevlemez beolvasása a rossz ágazatokba
Hogyan lehet visszavonni a harmadik féltől származó alkalmazásokhoz való hozzáférést a Google-fiókjából
Aggódik a személyes adatait ellopó alkalmazások és a visszaélésszerű információk miatt? Ez egy egyszerű módszer, amellyel visszavonhatja a harmadik féltől származó alkalmazáshoz való hozzáférést Google-fiókjából