Video: How to change Twitter Language (Mobile App & PC) (Settembre 2024)
Un ricercatore di sicurezza ha scoperto un bug nel codice di Twitter che potrebbe aver portato alcune applicazioni di terze parti a ottenere l'accesso a messaggi privati diretti senza l'esplicita approvazione dell'utente.
Molte applicazioni Web consentono agli utenti di accedere utilizzando i propri account Twitter e Facebook invece di creare un altro account. È conveniente per gli utenti e gli sviluppatori di applicazioni possono accedere ai dati degli utenti memorizzati sul sito di social network. Cesar Cerrudo, un ricercatore di sicurezza con IOActive, si è imbattuto in un difetto in cui queste applicazioni potevano finire con livelli di accesso più elevati di quanto avrebbero dovuto.
In un post sul blog IOActive Labs Research, Cerrudo ha descritto come stava testando un'applicazione Web (ancora in fase di sviluppo) che consentiva agli utenti di accedere con Twitter o Facebook. Alla pagina "Accedi", Cerrudo ha visto che l'applicazione sarebbe stata in grado di visualizzare i suoi tweet pubblici, pubblicare sul suo account, vedere i suoi follower, seguire nuove persone e apportare modifiche al profilo. La pagina indica inoltre esplicitamente che l'applicazione non avrebbe accesso ai suoi messaggi diretti o alla sua password.
"Dopo aver visualizzato la pagina Web visualizzata, mi sono fidato che Twitter non avrebbe consentito all'applicazione di accedere alla mia password e ai miei messaggi diretti. Sentivo che il mio account era sicuro, quindi ho effettuato l'accesso e giocato con l'applicazione", ha scritto Cerrudo.
Modifica dei livelli di autorizzazione
L'applicazione in realtà aveva la capacità di visualizzare i messaggi diretti, ma Twitter ha bloccato l'applicazione dall'eseguire con successo quelle azioni perché aveva solo le autorizzazioni di "lettura, scrittura", ha detto Cerrudo. Se l'applicazione voleva visualizzare i messaggi privati, l'applicazione avrebbe bisogno di richiedere il livello di accesso più alto tramite una pagina "Autorizza app".
Tuttavia, dopo aver effettuato l'accesso e la disconnessione dall'applicazione e da Twitter alcune volte, l'applicazione ha iniziato a visualizzare i suoi messaggi diretti. Cerrudo ha controllato le impostazioni dell'applicazione e ha visto che all'improvviso aveva le autorizzazioni per "leggere, scrivere e vedere i messaggi diretti", ha detto Cerrudo. Ha affermato di non aver mai visto la pagina dell'app Autorizza.
"Lo ha fatto senza autorizzazione e Twitter non ha visualizzato alcun messaggio al riguardo. È stato un semplice trucco per le applicazioni di terze parti per ottenere l'accesso ai messaggi diretti di Twitter di un utente", ha scritto Cerrudo.
Cerrudo non è riuscito a capire perché ciò stesse accadendo e ha notificato Twitter. Il team di sicurezza ha risposto prontamente e ha chiuso il problema, quindi le applicazioni non dovrebbero più essere arbitrarie e ottenere maggiori privilegi. Tuttavia, correggere il difetto non significa che nessuna delle applicazioni che sono riuscite a bypassare le impostazioni di sicurezza di Twitter sia stata ripristinata ai livelli di autorizzazione originali.
"Dopo la correzione di sicurezza, l'applicazione che ho testato aveva ancora accesso ai messaggi diretti fino a quando non l'ho revocata", ha scritto Cerrudo.
Controlla le tue applicazioni
È necessario controllare periodicamente l'elenco delle applicazioni che dispongono dell'autorizzazione per accedere ai propri account Twitter e Facebook per assicurarsi che non vi siano sorprese inaspettate. Verificare che tutte le applicazioni autorizzate siano applicazioni aggiunte e necessarie. Elimina quelli che non usi più. Inoltre, controlla i livelli di autorizzazione per assicurarti che le impostazioni siano appropriate.
Su Twitter, puoi fare clic sull'icona degli ingranaggi accanto alla casella di ricerca nella parte superiore dello schermo e selezionare Impostazioni. Dopo aver selezionato App (sul lato sinistro dello schermo), vedrai tutte le app che hanno accesso al tuo account e quando è stato aggiunto. I livelli di autorizzazione sono elencati appena sotto il nome dell'applicazione. Se qualcuno di loro non dovesse essere nell'elenco, fare clic sul pulsante "Revoca accesso".
Su Facebook, puoi fare clic sull'icona degli ingranaggi nell'angolo in alto a destra dello schermo e selezionare Impostazioni account. Dopo aver selezionato App (sul lato sinistro dello schermo), vedrai tutte le applicazioni, i giochi, i plug-in e i siti Web che hanno accesso al tuo account, insieme ai livelli di autorizzazione. È possibile fare clic su Modifica per regolare le autorizzazioni o sulla "x" per rimuoverlo completamente.
Ci vogliono solo pochi minuti, ma vale la pena assicurarsi che le app di terze parti non catturino i tuoi dati personali.
