セキュリティウォッチ Twitterアプリは、パスワードをリセットしても引き続きツイートできます

Twitterアプリは、パスワードをリセットしても引き続きツイートできます

ビデオ: La Voz De WNY (十一月 2024)

ビデオ: La Voz De WNY (十一月 2024)
Anonim

先週の侵害後、Twitterは素早く移動してユーザーアカウントをロックし、セッショントークンを失効させましたが、一部のトークンはアクティブなままであったため、サードパーティアプリケーションは引き続き古い資格情報を使用してTwitterにアクセスできます。

あなたが金曜日にパスワードリセットメールを受信した250, 000人のTwitterユーザーの1人である場合は、パスワードを既に変更していることを願っています。 サードパーティのアプリを使用してTwitterに投稿する場合、それらのアプリはまだ古い資格情報を使用している可能性があります。 安全のために、アプリをアンインストールして再インストールします。

週末にSecurityWatchで報告したように、攻撃者はユーザー名、メールアドレス、セッショントークン、ソルトおよびハッシュされたパスワードを盗みました。 セッショントークンは、マイクロブログサイトにユーザーが既にログインしていることを通知する特別な種類の暗号Cookieです。セッショントークンがまだ有効である(期限切れ、失効、または削除されていない)限り、ユーザーはログインせずにTwitterに戻ることができます毎回。

Twitterが言ったように、これらのセッショントークンを取り消すと、トークンを傍受した管理者がアカウントにアクセスできなくなります。 感染したコンピューターからCookieを収集するデータを盗むマルウェアの量を考えると、トークンをリセットすることは(ログインし直す必要があるため)ユーザーには不便ですが、攻撃者を締め出すには効果的です。

アプリはログインできます

ただし、サードパーティのアプリで使用されるトークンの一部は影響を受けなかったという報告があります。 リセット通知を受け取った後に新しいパスワードを作成しても、TwitterのモバイルアプリやTweetDeckなどのデスクトップクライアントが新しい投稿を送信するのを防ぐことはできなかったと、The Registerは報告しています。 私たち自身のMax Eddyは、週末にTwitterアカウントのパスワードを変更しなければならなかったと言いましたが、使用したサードパーティのアプリはどれも新しいパスワードでパスワードを更新するよう促しませんでした。

Twitter APIを使用するアプリは通常、複数のサイトにわたる認証のオープンスタンダードであるOAuthに依存しています。 Twitterが取り消したセッショントークンは、OAuthを使用して認証を処理するアプリに影響を与えていないようです。 ある人は、アプリが新しいパスワードを削除して再インストールするまで新しいパスワードを要求しなかったとThe Registerに話しました。

「1台のデバイスでパスワードが変更され、古いパスワードで他の2台のデバイスにログインしている場合(たとえば)、ベンダーは指定されたアカウントの開いているセッションをすべて終了する必要があります」と、McAfeeのSean DucaはThe Registerに語った。

OAuthを使用するアプリは、Webサービスで初めて認証するときに暗号化セッションキーを受け取り、その後のアクセスでキーを送信します、IOActive LabsのCTOであるCesar CerrudoはSecurityWatchに語りました。 これにより、サードパーティのアプリは、パスワード情報を繰り返し送信することなく、問題のサービスで動作できます。

Cerrudoはまだこの特定の状況を検討していないため、何が起こっているのか推測できませんでした。 SecurityWatchは、OAuthセッションの処理方法についてTwitterに連絡し、連絡を待っています。

ポリシーでは、OAuthの使用に関する開発者への会社のガイダンスに従って、Twitterは「現在、アクセストークンを失効させません」。 「ユーザーが設定からアプリケーションを明示的に拒否した場合、またはTwitter管理者がアプリケーションを一時停止した場合、アクセストークンは無効になります」とガイダンスは述べています。

これは、過去数週間で2回目のTwitterでのOAuth関連のインシデントです。 Cerrudoは最近、静かに修正したパーミッションの問題についてユーザーに通知しないことでTwitterを呼びました。

Fahmidaの詳細については、Twitter @zdFYRashidで彼女をフォローしてください。

Twitterアプリは、パスワードをリセットしても引き続きツイートできます