セキュリティ研究者がTwitterのコードのバグを発見しました。これにより、一部のサードパーティアプリケーションが、ユーザーの明示的な承認なしにプライベートダイレクトメッセージにアクセスできるようになった可能性があります。
多くのWebアプリケーションでは、ユーザーはさらに別のアカウントを作成する代わりに、TwitterおよびFacebookアカウントを使用してサインインできます。 ユーザーにとって便利であり、アプリケーション開発者はソーシャルネットワーキングサイトに保存されているユーザーデータにアクセスできます。 IOActiveのセキュリティ研究者であるCesar Cerrudoは、これらのアプリケーションが本来よりも高いレベルのアクセスで終了する可能性があるという欠陥に出会いました。
IOActive Labs Researchブログの投稿で、Cerrudoは、ユーザーがTwitterまたはFacebookでサインインできるWebアプリケーション(まだ開発中)をテストする方法について説明しました。 「サインイン」ページで、Cerrudoは、アプリケーションが自分の公開ツイートの表示、アカウントへの投稿、フォロワーの確認、新しい人のフォロー、プロファイルの変更を行えることを確認しました。 また、このページでは、アプリケーションが彼のダイレクトメッセージまたはパスワードにアクセスできないことを明示的に述べています。
「表示されたWebページを表示した後、私はTwitterがアプリケーションにパスワードとダイレクトメッセージへのアクセスを許可しないことを信頼しました。アカウントが安全だと感じたので、サインインしてアプリケーションを使用しました」とCerrudo氏は書いています。
許可レベルの変更
アプリケーションには実際にダイレクトメッセージを表示する機能がありましたが、Twitterは「読み取り、書き込み」権限しか持たないため、アプリケーションがこれらのアクションを正常に実行できないようにブロックしました、とCerrudoは言いました。 アプリケーションがプライベートメッセージを表示する場合、アプリケーションは「アプリの承認」ページを介してより高いレベルのアクセスを要求する必要があります。
ただし、アプリケーションとTwitterに数回ログインおよびログアウトした後、アプリケーションは直接メッセージを表示し始めました。 Cerrudoは、アプリケーションの設定を確認し、突然「読み取り、書き込み、およびダイレクトメッセージの表示」アクセス許可が与えられていることを確認しました、とCerrudoは言いました。 彼は、アプリの認証ページを見たことがないと主張しました。
「認証なしでこれを行い、Twitterはこれに関するメッセージを表示しませんでした。サードパーティアプリケーションがユーザーのTwitterダイレクトメッセージへのアクセスを取得するための単純なバイパストリックでした」とCerrudo氏は書いています。
Cerrudoは、なぜこれが起こっているのか理解できず、Twitterに通知しました。 セキュリティチームは迅速に対応し、問題を解決したため、アプリケーションが勝手に権限を獲得することはなくなります。 ただし、この問題を修正しても、Twitterのセキュリティ設定をバイパスできたアプリケーションが元のアクセス許可レベルにリセットされたということにはなりません。
「セキュリティ修正後、私がテストしたアプリケーションは、取り消すまでダイレクトメッセージにアクセスできました」とCerrudoは書いています。
アプリケーションを確認する
TwitterおよびFacebookアカウントへのアクセス許可を持つアプリケーションのリストを定期的に監査して、予期しない驚きがないことを確認する必要があります。 承認されているすべてのアプリケーションが追加したアプリケーションであり、まだ必要であることを確認してください。 使用しないものはすべてドロップします。 また、アクセス許可レベルをチェックして、設定が適切であることを確認してください。
Twitterでは、画面上部の検索ボックスの横にある歯車アイコンをクリックして、[設定]を選択できます。 [アプリ](画面の左側)を選択すると、アカウントにアクセスできるすべてのアプリと、いつ追加されたかが表示されます。 許可レベルは、アプリケーション名のすぐ下にリストされています。 それらのいずれかがリストにない場合は、「アクセスを取り消す」ボタンをクリックします。
Facebookでは、画面の右上隅にある歯車アイコンをクリックして、[アカウント設定]を選択できます。 (画面の左側の)[アプリ]を選択すると、アカウントにアクセスできるすべてのアプリケーション、ゲーム、プラグイン、Webサイト、およびアクセス許可レベルが表示されます。 [編集]をクリックして権限を調整するか、[x]をクリックして完全に削除できます。
数分しかかかりませんが、サードパーティのアプリが個人データを取得しないようにする価値があります。