В социальной сети Twitter устранена ошибка, раскрывавшая личную переписку пользователей сторонним лицам. Проблема проявлялась при использовании приложений, запрашивающих PIN-код для завершения процесса авторизации, вместо применения протокола Oauth. В результате, некоторые разрешения, например, на доступ к личным сообщениям, оставались скрытыми для пользователей Twitter.

По словам исследователя Теренса Идена (Terence Eden), обнаружившего уязвимость, проблема заключается в том, как официальный API Twitter обрабатывает ключи и секреты, к которым разработчики приложений могут получить доступ без авторизации.

«Несколько лет назад утекли официальные ключи API Twitter. Это значит, что разработчики приложений, не одобренных Twitter, по-прежнему могут получить доступ к программному интерфейсу», — пояснил специалист.

Для предотвращения злоупотреблений социальная платформа реализовала ряд мер, в частности ограничение URL обратного вызова, то есть одобренное приложение может получить доступ только к предопределенному адресу. Однако, некоторые приложения не используют URL-адрес или не поддерживают функцию обратных вызовов. Для таких случаев Twitter предусмотрела дополнительный механизм авторизации – по PIN-коду.

«Вы авторизуетесь, вам предоставляется PIN, вы вводите PIN в приложение» и программа получает доступ к контенту в Twitter, говорит Иден. Он обнаружил, что в случае с такими приложениями экран OAuth в Twitter по какой-то причине отображает некорректную информацию. В результате пользователи считают, что у приложений нет доступа к частным сообщениям, хотя на самом деле он есть.

Иден передал информацию об уязвимости администрации Twitter. Проблема уже исправлена, а исследователь получил награду в размере $2 940.

Источник: securitylab.ru