CYBER SECURITY - Com Michelle Barbosa e Eliakin Ceola - Episódio 2
Usuários que assinaram contratos com terceiros Aplicações Web ou móveis usando suas contas no Twitter podem ter dado a esses aplicativos acesso às suas mensagens “diretas” privadas do Twitter sem saber, de acordo com Cesar Cerrudo, diretor de tecnologia da empresa de consultoria de segurança IOActive.
A questão é o resultado de uma falha na API do Twitter (interface de programação de aplicativos) que levou os usuários a não estarem devidamente informados sobre quais permissões um aplicativo teria em suas contas ntes uma vez concedido o acesso. Cerrudo descreveu o problema e explicou como ele descobriu em um post publicado na terça-feira.
Aplicativos que permitem que os usuários façam login com suas contas do Twitter devem ser registrados no Twitter em //dev.twitter.com/apps. Durante o registro, os desenvolvedores precisam declarar o nível de acesso que os aplicativos terão nas contas das pessoas: “somente leitura”, “ler e escrever” ou “ler, escrever e acessar mensagens diretas”.
[Outras leituras: Como para remover malware do seu PC Windows]Quando os usuários tentam fazer login em um aplicativo desse tipo pela primeira vez usando suas contas do Twitter, eles são redirecionados para uma página de autorização no site do Twitter que lista as permissões solicitadas pelo aplicativo específico.
Cerrudo disse que descobriu o problema enquanto testava um aplicativo desenvolvido por um amigo que tinha uma permissão de “ler, escrever e acessar mensagens diretas” declarada no Twitter.
Quando ele fez o primeiro login no aplicativo com seu Twitter conta, ele foi redirecionado para uma página de autorização que informou que o aplicativo seria capaz de ler tweets de sua linha do tempo, ver quais usuários ele segue, seguir novos usuários em seu nome, atualizar seu perfil inf ormation e postar tweets em seu nome, ele disse. A página notou claramente que o aplicativo não poderia acessar mensagens diretas ou a senha da conta.
“Depois de ver a página da Web exibida, eu confiei que o Twitter não daria ao aplicativo acesso à minha senha e às mensagens diretas”, ele escreveu no blog. “Eu senti que minha conta estava segura, então eu entrei e joguei com o aplicativo.”
O pesquisador notou que o aplicativo tinha funcionalidade para acessar e exibir mensagens diretas, mas o recurso não parecia estar funcionando. Isso fazia sentido porque ele não tinha sido solicitado a conceder essa permissão.
No entanto, depois de entrar e sair do aplicativo e do Twitter algumas vezes, suas mensagens diretas começaram a aparecer no aplicativo. Ao verificar a lista de aplicativos autorizados a interagir com sua conta do Twitter (Configurações> Aplicativos), ele percebeu que o aplicativo tinha, de fato, permissões de leitura, gravação e acesso a mensagens diretas.
“Percebi que se tratava de uma enorme segurança O pesquisador confirmou nesta terça-feira que ele reproduziu o comportamento várias vezes ao revogar o acesso ao aplicativo e passar pelo processo de autorização novamente sem ser avisado de que o aplicativo seria capaz de ler suas mensagens privadas. A questão foi reportada ao Twitter em 16 de janeiro e foi endereçada em menos de 24 horas, disse ele.
"Eles disseram que a questão ocorreu devido a código complexo e suposições e validações incorretas", disse Cerrudo no post do blog.
No entanto, a correção do Twitter não parece se aplicar retroativamente. Depois que o Twitter corrigiu o problema, o aplicativo Cerrudo estava testando que já tinha acesso a sua conta, continuando a exibir mensagens diretas apesar de nunca receber autorização dele para fazê-lo, disse ele.
Os usuários do Twitter devem verificar se algum dos aplicativos que eles autorizaram no passado também ganharam acesso às suas mensagens diretas sem o seu conhecimento, disse Cerrudo. Isso pode ser feito revisando suas permissões na página Configurações do Twitter> Aplicativos.
A Cerrudo decidiu tornar esse problema público porque pode ter sérias implicações e porque o Twitter não emitiu um aviso ou anúncio público sobre o assunto. A empresa deve manter uma página dedicada, onde pode informar os usuários sobre questões de segurança, disse ele.
O Twitter não respondeu imediatamente a um pedido de comentário.
A Multiven fornece suporte técnico, manutenção e serviços de consultoria para redes de vários fornecedores. A empresa processou a Cisco em dezembro de 2008, alegando que o fornecedor dominante de equipamentos de rede não disponibilizava atualizações de software e correções de bugs para seus produtos a terceiros. Em vez disso, a Cisco disponibilizou essas atualizações apenas para clientes de seu serviço SMARTnet, impedindo que terceiros atendessem a equipamentos Cisco, alegou a Multiven. O proces
[Leitura adicional: Melhores caixas NAS para streaming de mídia e backup]
Grande falha de segurança encontrada em miui: aplicativos de segurança de terceiros podem ser…
Vulnerabilidades críticas de segurança foram encontradas no sistema operacional MIUI, que é executado em todos os dispositivos Xiaomi existentes.
Como revogar o acesso a aplicativos de terceiros da sua conta do Google
Preocupado com os apps que roubam seus dados pessoais e suas informações de uso indevido? Aqui está uma maneira fácil de revogar o acesso a aplicativos de terceiros da sua conta do Google