Lajmet

Vrima në Twitter iu mundësonte aplikacioneve qasjen në porositë private

Publikuar , 23 Janar 2013
0
Vrima në Twitter iu mundësonte aplikacioneve qasjen në porositë private

Sipas Cesar Cerrudo, i cili është zyrtar i teknologjisë në ndërmarrjen për konsultime për siguri, IOActive, përdoruesit që kanë përdorur aplikacione të palës së tretë në ueb ose në celularë duke përdorur llogaritë e tyre të Twitter-it mund t’iu kenë dhënë këtyre aplikacioneve qasje në porositë e tyre private pa dijeninë e tyre.

Problemi është si rezultat i një vrime në API-në (ndërfaqen programuese të aplikacionit) të Twitter-it që nuk i informoi siç duhet përdoruesit se çfarë leje një aplikacion do të ketë në llogaritë e tyre sapo t’i garantohej qasja. Cerrudo e përshkroi problemin dhe e shpjegoi se si ai e zbuloi atë në një postim në blog të postuar të martën.

Aplikacionet që iu mundësojnë përdoruesve të qasen me llogaritë e tyre të Twitter-it duhet të jenë të regjistruara me Twitter në https://dev.twitter.com/apps.

Gjatë regjistrimit, zhvilluesit e tyre duhet të deklarojnë nivelin e qasjes që aplikacionet do të kenë në llogaritë e përdoruesve: “vetëm lexim”, “lexim dhe shënim” ose “lexim, shkrim dhe qasje tek porositë e drejtpërdrejta”. Kur përdoruesit provojnë që të qasen në një aplikacion për herë të parë duke përdorur llogaritë e tyre të Twitter-it, ata dërgohen tek një faqe për autorizim në uebfaqen e rrjetit social që liston lejet e kërkuara nga aplikacioni i caktuar.

Cerrudo tha që ai zbuloi problemin teksa ishte duke testuar një aplikacion të zhvilluar nga një shok që kishte një qasje “lexim, shkrim dhe qasje në porositë e drejtpërdrejta” të deklaruar me Twitter-in.

Kur ai së pari ia lejoi qasjen aplikacionit në llogarinë e tij, ai ishte dërguar tek një faqe autorizimi që e informonte atë se aplikacioni do të jetë në gjendje që të lexojë cicërima nga kohështrirja e tij, të shohë se cilët përdorues i ndjekë ai, të ndjekë përdorues të rinj në emër të tij, të përditësojë informacionet në profilin e tij dhe të postojë cicërima në emër të tij, tha ai. Faqja qartë shënoi që aplikacioni nuk do të jetë në gjendje që t’iu qaset porosive të drejtpërdrejta ose tek fjalëkalimi i llogarisë.

LEXO EDHE:  Kompanitë teknologjike shpenzojnë miliona për influencë politike

Si dhe sa përdoret media sociale nëpër botë

“Pas shikimit të uebfaqes së paraqitur, unë besova që Twitter nuk do t’i japë aplikacionit qasje në fjalëkalimin dhe porositë e mia të drejtpërdrejta”,- shkroi ai në blog. “Unë ndjeva që llogaria ime ishte e sigurt, kështu që nënshkrova dhe luajta me aplikacionin.” Hulumtuesi e kuptoi që aplikacioni kishte mundësi t’i qaset dhe t’i paraqes porositë e drejtpërdrejta, por veçoria nuk dukej të funksiononte. Kjo kishte kuptim sepse ai nuk ishte pyetur që të garantonte atë leje.

Problemi ishte raportuar në Twitter më 16 janar

Sidoqoftë, pas hyrjes dhe daljes disa herë të aplikacionit dhe Twitter-it, porositë e tij të drejtpërdrejta filluan të paraqiten në aplikacion. Kur shikoi listën e aplikacioneve të autorizuara që të ndërlidhen me llogarinë e tij (Settings > Apps) ai e kuptoi që aplikacioni në fakt lexoi, shënoi dhe pati qasje në lejet e porosive të drejtpërdrejta. “Unë e kuptova që kjo ishte një vrimë e madhe sigurie”,- tha Cerrudo.

Hakerët ndihmojnë Twitter të mbyll llogari me fotografi shqetësuese

Hulumtuesi pranoi të martën që ai me sukses kishte riprodhuar këtë veprim disa herë duke tërhequr qasjen në aplikacion dhe duke shkuar nëpër procesin e autorizimit sërish pa paralajmëruar që aplikacioni do të jetë në gjendje që të lexojë porositë e tij private. Problemi ishte raportuar në Twitter më 16 janar dhe ishte adresuar në më pak se 24 orë, tha ai.

Twitter tejkalon më tepër se 200 milionë përdorues aktivë mujorë

“Ata thanë që problemi ndodhi për shkak të kodit të ndërlikuar dhe supozimeve dhe miratimeve të pasakta ”,- tha në postimin në blog Cerrudo. Sidoqoftë, arnimi i Twitter-it nuk duket të jetë aplikuar retroaktivisht. Pasi Twitter arnoi vrimën, aplikacioni që Cerrudo ishte duke testuar që tashmë kishte qasje në llogarinë e tij vazhdonte të paraqiste porositë private megjithëse kurrë nuk mori autorizim nga ai për të bërë kështu, u shpreh ai. (PC World Albanian)

LEXO EDHE:  Versioni i ardhshëm i Android do të quhet thjeshtë Android 10

Twitter

Tags >

Twitter
Lajmet e fundit>