dodany: 11.03.2013 | tagi: , , ,

Autor:

Jak odpalić nieautoryzowane aplikacje w Twitterze

1

Twitter podobnie jak Facebook korzysta z metody uwierzytelniania OAuth. Niestety nie jest ona doskonała – ostatnio informowaliśmy Was jakie niebezpieczeństwo owe API powodowało w przypadku FB  (zobacz newsa: Poważna luka w module Facebooka), a teraz wyszło na jaw, że jest problem z Twitterem, choć przyczyna jest zdecydowanie inna, gdyż w tym wypadku wyciekły klucze, które pozwalają na autoryzację zewnętrznych aplikacji. Dzięki temu możliwe jest uruchomienie dowolnej aplikacji, która może zrobić z naszym kontem praktycznie wszystko – włącznie z czytaniem prywatnych wiadomości!

Owe klucze składają się z dwóch elementów: jeden to consumer key, natomiast drugi do consumer secret. Krótko mówiąc zestaw ten jest odpowiednikiem login/hasło, który pozwala na uwierzytelnienie aplikacji w powiązaniu z Twitterem. Klucze te są dostępne w serwisie GitHub.

Oto przykładowy zestaw dla Google TV:

Inne opublikowane klucze są dostępne dla iPhone’a, Androida, iPada, Maca, Windows Phone oraz TweetDeck.

Oczywiście ujawnione klucze zostały zresetowane, ale to nie rozwiązuje problemu – kto wie, kiedy pojawi się ich aktualizacja? Właśnie taka sytuacja miała teraz miejsce – wcześniej klucze zostały opublikowane 5 miesięcy temu. Metoda OAuth została wprowadzona w Twitterze w sierpniu 2010 roku.

To nie jedyna wpadka z API OAuth – w ostatnim czasie wykryto, że pomimo zmiany hasła, token uzyskany przy logowaniu na starym haśle nadal działał.

Redaktor działu aktualności WebSecurity.pl. Pasjonat komputerów od czasów epoki "bezmyszkowej".

Jedna odpowiedź do “Jak odpalić nieautoryzowane aplikacje w Twitterze”

  1. avatar OGR79 pisze:

    twitter ostatnio zalicza wtopy, szkoda bo jak patrze na facedupków to strasznie im kibicuje

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *