Ricercatore: Twitter ha rivelato alle app di terze parti l'accesso non autorizzato ai messaggi privati ​​

Utenti che hanno firmato in terze parti Le applicazioni Web o mobili che utilizzano i loro account Twitter potrebbero aver dato a tali applicazioni l'accesso ai loro messaggi "diretti" privati ​​di Twitter senza saperlo, secondo Cesar Cerrudo, responsabile tecnologico della società di consulenza di sicurezza IOActive.

Il problema è il risultato di una falla nell'API di Twitter (interfaccia di programmazione dell'applicazione) che ha portato gli utenti a non essere adeguatamente informati su quali autorizzazioni avrà un'applicazione sul loro accou nts una volta concesso l'accesso. Cerrudo ha descritto il problema e ha spiegato come lo ha scoperto in un post pubblicato martedì.

Le applicazioni che consentono agli utenti di accedere con i loro account Twitter devono essere registrate su Twitter all'indirizzo //dev.twitter.com/apps. Durante la registrazione, i loro sviluppatori devono dichiarare il livello di accesso che le applicazioni avranno sui conti delle persone: "sola lettura", "leggi e scrivi" o "leggi, scrivi e accedi ai messaggi diretti".

[Ulteriori letture: come per rimuovere malware dal PC Windows]

Quando gli utenti tentano di accedere a un'applicazione di questo tipo per la prima volta utilizzando i propri account Twitter, vengono reindirizzati a una pagina di autorizzazione sul sito Web di Twitter che elenca le autorizzazioni richieste da una particolare applicazione.

Cerrudo ha dichiarato di aver scoperto il problema mentre stava testando un'applicazione sviluppata da un amico che aveva un permesso di "lettura, scrittura e accesso ai messaggi diretti" dichiarato con Twitter.

Quando ha firmato per la prima volta l'applicazione con il suo Twitter account, è stato reindirizzato a una pagina di autorizzazione che lo informava che l'applicazione sarebbe in grado di leggere i tweet dalla sua timeline, vedere quali utenti segue, seguire i nuovi utenti per suo conto, aggiornare il suo profilo inf ormation e post tweets a suo nome, ha detto. La pagina indicava chiaramente che l'applicazione non sarebbe stata in grado di accedere ai messaggi diretti o alla password dell'account.

"Dopo aver visualizzato la pagina Web visualizzata, mi sono fidato che Twitter non avrebbe dato l'accesso alla mia password e diretto i messaggi", ha ha scritto sul blog. "Sentivo che il mio account era al sicuro, quindi ho eseguito l'accesso e ho giocato con l'applicazione."

Il ricercatore ha notato che l'applicazione aveva funzionalità per accedere e visualizzare i messaggi diretti, ma la funzionalità non sembrava funzionare. Ciò aveva senso perché non gli era stato chiesto di concedere tale autorizzazione.

Tuttavia, dopo aver effettuato l'accesso e l'uscita dall'applicazione e Twitter alcune volte, i suoi messaggi diretti iniziarono ad apparire nell'applicazione. Quando ha controllato l'elenco delle applicazioni autorizzate a interagire con il suo account Twitter (Impostazioni> App), ha notato che l'applicazione ha effettivamente le autorizzazioni di lettura, scrittura e accesso ai messaggi diretti.

"Ho capito che si trattava di un enorme sicurezza buco ", ha detto Cerrudo.

Il ricercatore ha confermato martedì di aver riprodotto il comportamento diverse volte revocando l'accesso all'app e ripassando il processo di autorizzazione senza essere avvertito che l'app sarebbe in grado di leggere i suoi messaggi privati. Il problema è stato segnalato a Twitter il 16 gennaio ed è stato risolto in meno di 24 ore, ha detto.

"Hanno detto che il problema si è verificato a causa di codice complesso e presupposti e convalide errati", ha detto Cerrudo nel post del blog.

Tuttavia, la correzione di Twitter non sembra essere applicata retroattivamente. Dopo che Twitter ha risolto il problema, l'app Cerrudo stava testando che già l'accesso al suo account continuava a visualizzare messaggi diretti nonostante non avesse mai ricevuto l'autorizzazione per farlo, ha detto.

Gli utenti di Twitter dovrebbero verificare se alcune delle app autorizzate in passato hanno anche avuto accesso ai loro messaggi diretti a loro insaputa, ha detto Cerrudo. Questo può essere fatto rivedendo le loro autorizzazioni sulla pagina Impostazioni Twitter> Applicazioni.

Cerrudo ha deciso di rendere pubblico questo problema perché può avere serie implicazioni e perché Twitter non ha emesso un avviso o un annuncio pubblico al riguardo. L'azienda dovrebbe mantenere una pagina dedicata in cui può informare gli utenti sui problemi di sicurezza, ha detto.

Twitter non ha risposto immediatamente a una richiesta di commento.