登录第三方根据安全咨询公司IOActive的首席技术官Cesar Cerrudo的说法,使用Twitter帐户的网络或移动应用程序可能会让这些应用程序在不知道它的情况下访问他们的Twitter私人“直接”消息。
问题是Twitter的API(应用程序编程接口)存在漏洞,导致用户无法正确了解应用程序对其应用程序的权限nts曾经授予访问权限。 Cerrudo描述了这个问题,并解释了他是如何在周二发布的博客文章中发现它的。
允许用户使用他们的Twitter帐户登录的应用程序必须通过//dev.twitter.com/apps注册Twitter。在注册过程中,他们的开发人员必须声明应用程序对人员帐户的访问级别:“只读”,“读写”或“读取,写入和访问直接消息”。
[更多阅读:从Windows PC删除恶意软件]当用户首次尝试使用他们的Twitter帐户登录到此类应用程序时,它们将被重定向到Twitter网站上的授权页面,该页面列出了特定应用程序请求的权限。
Cerrudo说,他在测试由朋友开发的应用程序时发现了这个问题,该应用程序拥有使用Twitter声明的“读取,写入和访问直接消息”权限。
当他首次使用Twitter登录应用程序时帐户,他被重定向到授权页面,通知他该应用程序将能够从他的时间线上读取推文,查看他遵循的用户,代表他的新用户,更新他的个人资料inf并且代表他发布推文,他说。该页面清楚地指出,应用程序将无法访问直接消息或帐户的密码。
“在查看显示的网页后,我相信Twitter不会让应用程序访问我的密码和直接消息,”他在博客上写道。 “我觉得我的帐户是安全的,所以我登录并使用了应用程序。”
研究人员注意到该应用程序具有访问和显示直接消息的功能,但该功能似乎没有工作。这是有道理的,因为他没有被要求授予该许可。
然而,在登录和退出应用程序和Twitter几次之后,他的直接消息开始出现在应用程序中。当检查被授权与他的Twitter账户进行交互的应用程序列表(设置>应用程序)时,他注意到应用程序确实具有读取,写入和访问直接消息权限。
“我意识到这是一个巨大的安全“Cerrudo说,”研究人员周二证实,他成功复制了多次该行为,撤销了对该应用程序的访问权限,并再次通过授权过程,但未被警告该应用程序能够阅读他的私人信息。他说,这个问题在1月16日向Twitter报告,并在不到24小时内解决,他说,“问题出在复杂的代码和错误的假设和验证,”Cerrudo在博客文章中说。
然而,Twitter的修复似乎不具追溯效力。在Twitter解决问题后,Cerrudo应用程序正在测试已经访问过他的帐户的用户继续显示直接消息,尽管从未获得他的授权,他说。Cerrudo说,Twitter用户应该检查他们过去授权的任何应用程序是否在他们不知情的情况下获得了他们的直接信息。这可以通过审查他们在Twitter设置>应用程序页面上的权限来完成。
Cerrudo决定公开这个问题,因为它可能会产生严重的影响,并且Twitter没有就此发布公共建议或公告。他表示,该公司应该保留一个专门的页面,告知用户安全问题。
Twitter没有立即回复评论请求
研究员:Chrome,Safari密码管理员需要工作
一名安全研究人员报告说,Google的Chrome浏览器和Apple的Safari浏览器具有最不安全的浏览器密码管理器。根据一位安全研究人员周五发布的一项关于浏览器密码管理员的研究,Google的Chrome浏览器和苹果的Safari浏览器可以更好地保护密码。
研究员:安全设备存在严重漏洞
大多数电子邮件和Web网关,防火墙,远程访问服务器,UTM(统一威胁管理)系统和其他安全设备存在严重漏洞,据分析多家供应商产品的安全研究人员称。大多数电子邮件和Web网关,防火墙,远程访问服务器,UTM(统一威胁管理)系统和其他安全设备根据分析多家供应商产品的安全研究人员指出,大多数安全设备都是维护不良的Linux系统,安装有不安全的Web应用程序,据NCC Group的渗透测试人员Ben Williams介绍,周四在阿姆斯特丹举行的黑帽欧洲2013安全会议上的发现。他的演讲题目是“安全产品的讽刺性开发”。
研究员:黑客可以通过操纵实时交通数据导致交通拥堵
黑客可以影响实时交通流量 - 黑客可以影响实时的交通流量分析系统,以避免交通堵塞,或者在很多人使用Google或Waze导航系统的地区保持道路畅通,一位德国研究人员在BlackHat Europe上展示