Artykuły dotyczące tematu: Consumer key

dodany: 11.03.2013 | tagi: , , ,

Jak odpalić nieautoryzowane aplikacje w Twitterze

1

Twitter podobnie jak Facebook korzysta z metody uwierzytelniania OAuth. Niestety nie jest ona doskonała – ostatnio informowaliśmy Was jakie niebezpieczeństwo owe API powodowało w przypadku FB  (zobacz newsa: Poważna luka w module Facebooka), a teraz wyszło na jaw, że jest problem z Twitterem, choć przyczyna jest zdecydowanie inna, gdyż w tym wypadku wyciekły klucze, które pozwalają na autoryzację zewnętrznych aplikacji. Dzięki temu możliwe jest uruchomienie dowolnej aplikacji, która może zrobić z naszym kontem praktycznie wszystko – włącznie z czytaniem prywatnych wiadomości!

Owe klucze składają się z dwóch elementów: jeden to consumer key, natomiast drugi do consumer secret. Krótko mówiąc zestaw ten jest odpowiednikiem login/hasło, który pozwala na uwierzytelnienie aplikacji w powiązaniu z Twitterem. Klucze te są dostępne w serwisie GitHub.

Oto przykładowy zestaw dla Google TV:

Inne opublikowane klucze są dostępne dla iPhone’a, Androida, iPada, Maca, Windows Phone oraz TweetDeck.

Oczywiście ujawnione klucze zostały zresetowane, ale to nie rozwiązuje problemu – kto wie, kiedy pojawi się ich aktualizacja? Właśnie taka sytuacja miała teraz miejsce – wcześniej klucze zostały opublikowane 5 miesięcy temu. Metoda OAuth została wprowadzona w Twitterze w sierpniu 2010 roku.

To nie jedyna wpadka z API OAuth – w ostatnim czasie wykryto, że pomimo zmiany hasła, token uzyskany przy logowaniu na starym haśle nadal działał.