Peneliti: Kekurangan Twitter memberi akses tidak sah kepada aplikasi pihak ketiga ke pesan pribadi

Pengguna yang masuk ke pihak ketiga Aplikasi web atau seluler yang menggunakan akun Twitter mereka mungkin telah memberi mereka akses aplikasi ke pesan "langsung" Twitter pribadi mereka tanpa mengetahuinya, menurut Cesar Cerrudo, direktur teknologi firma konsultan keamanan IOActive.

Masalahnya adalah hasil dari cacat dalam API Twitter (antarmuka pemrograman aplikasi) yang menyebabkan pengguna tidak mendapatkan informasi yang benar tentang izin apa yang akan dimiliki aplikasi di NTS setelah diberikan akses. Cerrudo menjelaskan masalahnya dan menjelaskan bagaimana ia menemukannya di posting blog yang diterbitkan Selasa.

Aplikasi yang memungkinkan pengguna untuk masuk dengan akun Twitter mereka harus terdaftar dengan Twitter di //dev.twitter.com/apps. Selama pendaftaran, pengembang mereka harus menyatakan tingkat akses yang akan dimiliki aplikasi pada akun orang-orang: "hanya baca", "baca dan tulis" atau "baca, tulis, dan akses ke pesan langsung."

[Bacaan lebih lanjut: Bagaimana untuk menghapus malware dari PC Windows Anda]

Saat pengguna mencoba masuk ke aplikasi semacam itu untuk pertama kalinya menggunakan akun Twitter mereka, mereka dialihkan ke halaman otorisasi di situs web Twitter yang mencantumkan izin yang diminta oleh aplikasi tertentu.

Cerrudo mengatakan bahwa dia menemukan masalah saat dia menguji aplikasi yang dikembangkan oleh seorang teman yang memiliki izin "baca, tulis dan akses ke pesan langsung" yang dinyatakan dengan Twitter.

Ketika dia pertama kali masuk ke aplikasi dengan Twitternya akun, ia dialihkan ke halaman otorisasi yang memberi tahu dia bahwa aplikasi akan dapat membaca tweet dari garis waktunya, melihat pengguna yang dia ikuti, mengikuti pengguna baru atas nama dia, memperbarui inf profilnya ormation dan memposting tweet atas namanya, katanya. Halaman tersebut dengan jelas mencatat bahwa aplikasi tidak akan dapat mengakses pesan langsung atau kata sandi akun.

"Setelah melihat halaman web yang ditampilkan, saya percaya bahwa Twitter tidak akan memberikan aplikasi akses ke kata sandi dan pesan langsung saya," dia menulis di blog. “Saya merasa bahwa akun saya aman, jadi saya masuk dan bermain dengan aplikasi.”

Peneliti memperhatikan bahwa aplikasi memiliki fungsi untuk mengakses dan menampilkan pesan langsung, tetapi fitur tersebut tampaknya tidak berfungsi. Ini masuk akal karena dia tidak diminta untuk memberikan izin itu.

Namun, setelah masuk dan keluar dari aplikasi dan Twitter beberapa kali, pesan langsungnya mulai muncul di aplikasi. Ketika memeriksa daftar aplikasi yang berwenang untuk berinteraksi dengan akun Twitter-nya (Pengaturan> Aplikasi), dia menyadari bahwa aplikasi itu sebenarnya memiliki izin baca, tulis, dan akses pesan langsung.

“Saya menyadari bahwa ini adalah keamanan yang sangat besar. lubang, "kata Cerrudo.

Peneliti menegaskan pada hari Selasa bahwa ia berhasil mereproduksi perilaku beberapa kali dengan mencabut akses ke aplikasi dan menjalani proses otorisasi lagi tanpa diperingatkan bahwa aplikasi akan dapat membaca pesan pribadinya. Masalah ini dilaporkan ke Twitter pada 16 Januari dan ditangani dalam waktu kurang dari 24 jam, katanya.

"Mereka mengatakan masalah ini terjadi karena kode yang rumit dan asumsi dan validasi yang salah," Cerrudo mengatakan dalam posting blog.

Namun, perbaikan Twitter tampaknya tidak berlaku surut. Setelah Twitter memperbaiki masalah ini, aplikasi Cerrudo sedang menguji yang sudah memiliki akses ke akunnya terus menampilkan pesan langsung meskipun tidak pernah menerima otorisasi darinya untuk melakukannya, katanya.

Pengguna Twitter harus memeriksa apakah ada aplikasi yang mereka otorisasi di masa lalu juga mendapatkan akses ke pesan langsung mereka tanpa sepengetahuan mereka, Cerrudo berkata. Ini dapat dilakukan dengan meninjau izin mereka di Pengaturan Twitter> Halaman Aplikasi.

Cerrudo memutuskan untuk menjadikan masalah ini publik karena dapat memiliki implikasi serius dan karena Twitter tidak mengeluarkan saran publik atau pengumuman tentang hal itu. Perusahaan harus mempertahankan halaman khusus di mana ia dapat menginformasikan pengguna tentang masalah keamanan, katanya.

Twitter tidak segera menanggapi permintaan untuk komentar.