Исследователь компании IOActive Labs Сезар Керрудо (Cesar Cerrudo) поставил под вопрос безопасность авторизации в сторонних web-приложениях, используя учетную запись в Twitter, после того, как обнаружил приложение, которое получило полный доступ к его учетной записи.
Исследователь сообщает, что его личные сообщения в Twitter были скомпрометированы при помощи web-приложения, с которым он экспериментировал, хотя настройки конфиденциальности должны были предотвратить доступ.
Сейчас все большее количество интернет-сервисов предлагают пользователям зарегистрироваться, используя свои учетные записи в социальных сетях. Керрудо сообщает, что лично он никогда не использует регистрационные данные своего Twitter, пока приложение полностью не пройдет проверку, и исследователь не убедится, что доступными остаются только опубликованные посты и сопутствующая информация, а не личные сообщения.
Настройки безопасности Twitter предполагают, что сторонние приложения должны запросить у пользователя разрешение на доступ к личным сообщениям, что они часто делают, не пройдя авторизацию. При этом Twitter не показывает никаких соответствующих сообщений. Этот простой «трюк» приложения используют для того, чтобы получать доступ к личным сообщениям пользователей.
По словам Керрудо, последнее обновление Twitter должно было устранить проблему безопасности, однако, у сторонних web-приложений все еще есть доступ к удаленным твиттам пользователей даже после того, как оно было удалено.
Источник: SecurityLab
|
