Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
quoideneuf1.over-blog.com

Twitter: Une vulnérabilité permet a des applications d'envoyer des méssages directs privés sans l'autorisation de l'utilisateur

15 Décembre 2013 , Rédigé par nicko

Le chercheur en sécurité Egor Homakov a découvert une vulnérabilité sur Twitter qui permet aux applications d'envoyer des méssages directs privés (MDs) sans nécessiter l'autorisation explicite de l'utilisateur. thenextweb a vérifié les conclusions et peut confirmer le bug.

Twitter: Une vulnérabilité permet a des applications d'envoyer des méssages directs privés sans l'autorisation de l'utilisateur

Cela signifie que les applications Twitter qui ne demandent pas de permission pour envoyer des méssages direct privés peuvent le faire de toute façon. Par exemple, Twitpic ne demande pas d'accès à vos MDp quand vous le connectez à votre compte

Twitter: Une vulnérabilité permet a des applications d'envoyer des méssages directs privés sans l'autorisation de l'utilisateur

Néanmoins, en utilisant la commande "d twitter_username le message" l'application peut envoyer un MDp à quelqu'un dont vous n'êtes pas normalement autorisé . L'application ne vérifie jamais si l'utilisateur est autorisé a l'envoi d'un MDp.

-Voici un message test, que nous avons es
sayé d'envoyer:

Twitter: Une vulnérabilité permet a des applications d'envoyer des méssages directs privés sans l'autorisation de l'utilisateur

Voici le résultat immédiat:

Twitter: Une vulnérabilité permet a des applications d'envoyer des méssages directs privés sans l'autorisation de l'utilisateur

Il est intéressant de noter que certaines applications bloquent cette fonctionnalité tampon, par exemple, donne l'erreur suivante: ". Désolé,les messages directs ne peuvent pas actuellement être envoyés par Buffer" d'autres applications que nous avons testées, cependant permettes envoyé des MDp sans accroc.

Homakov donne trois raisons pour lesquelles il s'agit d'un bug:

  • Apps sont censés avoir lu et écrire les autorisations pour accéder aux MPs. Avec ce raccourci, vous pouvez contourner cette protection.
  • Les MDp sont plus faciles à utiliser pour le spam. Les utilisateurs sont moins susceptibles de remarquer qui les a envoyés.
  • Les MDp ne montrent pas si les messages ont été envoyés par le client Twitter officiel ou un client tiers. En conséquence, le défaut pourrait être utilisé pour l'hameçonnage.

Par ce dernier point, je savais que mon test a été un succès parce que j'ai eu une notification de MDp: Martin attendait le message et répondu immédiatement.

Si Twitpic, ou toute autre application Twitter pour cette question, avaient envoyé un message en mon nom à mes amis sur Twitter, je ne le saurait pas jusqu'à ce qu'un d'entre eux airait répondu ou si j'avait décidé de vérifier mes MPs sur un coup de tête. En d'autres termes, il ya beaucoup de potentiel pour l'abus ici.

DaKnOb, Un autre chercheur sur la vulnérabilité, dit qu'il a trouvé la faille, il ya un an et à Twitter. La société a dit que ce n'était pas quelque chose qui devait être fixé:

Cette faille peut obliger les utilisateurs à connecter une application Twitter malveillante à leur compte, mais après cela, ils sont très vulnérables. Le fait qu'elle a été connu pendant si longtemps sans être abordé est assez inquiétant.

Nous avons contacté Twitter à ce sujet. Nous mettrons à jour cet article si twitter répond.

Source: thenextweb

Partager cet article

Repost 0
Pour être informé des derniers articles, inscrivez vous :

Commenter cet article