فيديو: اÙÙضاء - عÙÙ٠اÙÙÙÙ ÙÙÙر٠اÙØاد٠ÙاÙعشرÙÙ (شهر نوفمبر 2024)
كشف باحث أمني عن خطأ في كود Twitter والذي ربما أدى إلى حصول بعض تطبيقات الطرف الثالث على رسائل خاصة مباشرة دون موافقة المستخدم الصريحة.
تسمح العديد من تطبيقات الويب للمستخدمين بتسجيل الدخول باستخدام حسابات Twitter و Facebook بدلاً من إنشاء حساب آخر. إنه مناسب للمستخدمين ويمكن لمطوري التطبيقات الوصول إلى بيانات المستخدم المخزنة على موقع التواصل الاجتماعي. عثر سيزار سيرودو ، الباحث الأمني في IOActive ، على عيب يمكن أن تنتهي به هذه التطبيقات بمستويات وصول أعلى مما ينبغي.
في منشور على مدونة IOActive Labs Research ، وصف سيرودو كيف كان يختبر تطبيق ويب (لا يزال قيد التطوير) والذي سمح للمستخدمين بتسجيل الدخول عبر Twitter أو Facebook. في صفحة "تسجيل الدخول" ، رأى سيرودو أن التطبيق سيكون قادرًا على عرض تغريداته العامة ونشرها على حسابه ورؤية متابعيه ومتابعة أشخاص جدد وإجراء تغييرات على الملف الشخصي. كما ذكرت الصفحة بشكل صريح أن التطبيق لن يتمكن من الوصول إلى الرسائل المباشرة أو كلمة المرور الخاصة به.
وكتب سيرودو "بعد عرض صفحة الويب المعروضة ، كنت واثقًا من أن Twitter لن يمنح التطبيق حق الوصول إلى كلمة المرور والرسائل المباشرة. شعرت أن حسابي آمن ، لذلك قمت بتسجيل الدخول ولعبت مع التطبيق".
تغيير مستويات الأذونات
وقال سيرودو إن التطبيق في الواقع لديه القدرة على عرض الرسائل المباشرة ، لكن تويتر منع التطبيق من تنفيذ تلك الإجراءات بنجاح لأنه كان لديه فقط أذونات "القراءة والكتابة". إذا أراد التطبيق عرض الرسائل الخاصة ، فسيحتاج التطبيق إلى طلب مستوى أعلى من الوصول عبر صفحة "تفويض التطبيق".
ومع ذلك ، بعد تسجيل الدخول والخروج من التطبيق و Twitter عدة مرات ، بدأ التطبيق في عرض رسائله المباشرة. وقال سيرودو إن سيرودو فحص إعداد التطبيق ورأى أنه فجأة لديه أذونات "القراءة والكتابة ومشاهدة الرسائل المباشرة". وادعى أنه لم ير صفحة التطبيق إذن.
وكتب سيرودو: "لقد فعلت ذلك دون الحصول على إذن ، ولم يعرض موقع تويتر أية رسائل حول هذا الأمر. لقد كانت خدعة بسيطة لتطبيقات الطرف الثالث للوصول إلى رسائل تويتر المباشرة للمستخدم".
لم يتمكن سيرودو من معرفة سبب حدوث ذلك وإخطار تويتر. استجاب فريق الأمان على الفور وأغلق المشكلة ، لذلك لم تعد التطبيقات تعسفية تحصل على امتيازات متزايدة. ومع ذلك ، فإن إصلاح الخلل لا يعني إعادة تعيين أي من التطبيقات التي تمكنت من تجاوز إعدادات أمان Twitter إلى مستويات الأذونات الأصلية.
وكتب سيرودو "بعد الإصلاح الأمني ، كان التطبيق الذي اختبرته لا يزال لديه إمكانية الوصول إلى الرسائل المباشرة حتى ألغيتها".
تحقق التطبيقات الخاصة بك
يجب عليك مراجعة قائمة التطبيقات التي لديها إذن للوصول إلى حساباتك على Twitter و Facebook بشكل دوري للتأكد من عدم وجود مفاجآت غير متوقعة. تحقق للتأكد من أن جميع التطبيقات المصرح بها هي تطبيقات قمت بإضافتها ، ولا تزال بحاجة إليها. إسقاط أي أنك لا تستخدم بعد الآن. تحقق أيضًا من مستويات الأذونات للتأكد من أن الإعدادات مناسبة.
على Twitter ، يمكنك النقر فوق أيقونة gears الموجودة بجانب مربع البحث أعلى الشاشة وتحديد الإعدادات. بعد التحديد إلى التطبيقات (على الجانب الأيسر من الشاشة) ، سترى جميع التطبيقات التي لها حق الوصول إلى حسابك ، وعند إضافتها. يتم سرد مستويات الأذونات أسفل اسم التطبيق مباشرة. إذا لم يكن أي منهم مدرجًا في القائمة ، فانقر فوق الزر "إلغاء الوصول".
في Facebook ، يمكنك النقر فوق أيقونة gears في الزاوية العلوية اليمنى من الشاشة وتحديد إعدادات الحساب. بعد التحديد إلى التطبيقات (على الجانب الأيسر من الشاشة) ، سترى جميع التطبيقات والألعاب والإضافات ومواقع الويب التي يمكنها الوصول إلى حسابك ، إلى جانب مستويات الأذونات. يمكنك النقر فوق "تحرير" لضبط الأذونات أو "x" لإزالته بالكامل.
يستغرق الأمر بضع دقائق فقط ، ولكن يجدر التأكد من أن تطبيقات الجهات الخارجية لا تستحوذ على بياناتك الشخصية.