शोधकर्ता: ट्विटर दोष ने तृतीय-पक्ष ऐप्स को निजी संदेशों तक अनधिकृत पहुंच प्रदान की

जो उपयोगकर्ता तीसरे पक्ष में साइन इन करते हैं सुरक्षा सलाहकार फर्म आईओएक्टिव के मुख्य प्रौद्योगिकी अधिकारी सीज़र सेरूडो के अनुसार, उनके ट्विटर खातों का उपयोग कर वेब या मोबाइल एप्लिकेशन ने उन एप्लिकेशन को अपने ट्विटर निजी "प्रत्यक्ष" संदेशों तक पहुंचने के बिना दिया होगा।

मुद्दा का नतीजा है ट्विटर के एपीआई (एप्लिकेशन प्रोग्रामिंग इंटरफ़ेस) में एक दोष जिसने उपयोगकर्ताओं को उचित रूप से सूचित नहीं किया कि उनके आवेदन पर कौन से अनुमतियां होंगी एनटीएस ने एक बार पहुंच प्रदान की। सेरूडो ने समस्या का वर्णन किया और समझाया कि उन्होंने इसे मंगलवार को प्रकाशित एक ब्लॉग पोस्ट में कैसे खोजा।

एप्लिकेशन जो उपयोगकर्ताओं को अपने ट्विटर खातों से लॉग इन करने की अनुमति देते हैं उन्हें ट्विटर पर //dev.twitter.com/apps पर पंजीकृत होना होगा। पंजीकरण के दौरान, उनके डेवलपर्स को लोगों के खातों पर एप्लिकेशन के पहुंच का स्तर घोषित करना होगा: "केवल पढ़ने के लिए," "पढ़ना और लिखना" या "सीधे संदेश पढ़ने, लिखने और पहुंचने के लिए।"

[आगे पढ़ने: कैसे अपने विंडोज पीसी से मैलवेयर हटाने के लिए]

जब उपयोगकर्ता अपने ट्विटर खातों का उपयोग करते हुए पहली बार इस तरह के एप्लिकेशन में लॉग इन करने का प्रयास करते हैं, तो उन्हें ट्विटर की वेबसाइट पर एक प्राधिकरण पृष्ठ पर रीडायरेक्ट किया जाता है जो विशेष एप्लिकेशन द्वारा अनुरोध की गई अनुमतियों को सूचीबद्ध करता है।

सेरूडो ने कहा कि उन्होंने इस मुद्दे की खोज की, जबकि वह एक दोस्त द्वारा विकसित एक एप्लिकेशन का परीक्षण कर रहा था, जिसमें ट्विटर के साथ घोषित अनुमति "प्रत्यक्ष संदेश पढ़ने, लिखने और पहुंच" थी।

जब उसने पहली बार अपने ट्विटर के साथ आवेदन में हस्ताक्षर किए खाता, उन्हें एक प्राधिकरण पृष्ठ पर रीडायरेक्ट किया गया था, जिसने उन्हें सूचित किया कि आवेदन उनकी टाइमलाइन से ट्वीट्स पढ़ने में सक्षम होगा, देखें कि वह कौन से उपयोगकर्ता अनुसरण करते हैं, उनकी ओर से नए उपयोगकर्ताओं का अनुसरण करें, अपनी प्रोफ़ाइल inf को अपडेट करें उन्होंने कहा कि उनकी तरफ से वृहस्पति और पोस्ट ट्वीट्स। पृष्ठ ने स्पष्ट रूप से ध्यान दिया कि एप्लिकेशन प्रत्यक्ष संदेश या खाते का पासवर्ड एक्सेस नहीं कर पाएगा।

"प्रदर्शित वेब पेज देखने के बाद, मुझे भरोसा था कि ट्विटर मेरे पासवर्ड और प्रत्यक्ष संदेशों तक एप्लिकेशन का उपयोग नहीं करेगा," ब्लॉग पर लिखा था। "मुझे लगा कि मेरा खाता सुरक्षित था, इसलिए मैंने साइन इन किया और आवेदन के साथ खेला।"

शोधकर्ता ने देखा कि एप्लिकेशन में प्रत्यक्ष संदेशों तक पहुंचने और प्रदर्शित करने की कार्यक्षमता थी, लेकिन यह सुविधा काम नहीं कर रही थी। यह समझ में आया क्योंकि उसे अनुमति देने के लिए कहा नहीं गया था।

हालांकि, आवेदन और ट्विटर से साइन इन करने और कुछ बार, उसके प्रत्यक्ष संदेश आवेदन में दिखने लगे। अपने ट्विटर खाते (सेटिंग्स> ऐप्स) के साथ संवाद करने के लिए अधिकृत अनुप्रयोगों की सूची की जांच करते समय उन्होंने देखा कि आवेदन में वास्तव में पढ़ने, लिखने और प्रत्यक्ष संदेश अनुमतियों तक पहुंच है।

"मुझे एहसास हुआ कि यह एक बड़ी सुरक्षा थी छेद, "Cerrudo ने कहा।

शोधकर्ता ने मंगलवार को पुष्टि की कि उसने ऐप तक पहुंच रद्द करके कई बार व्यवहार को पुन: उत्पन्न किया और चेतावनी के बिना फिर से प्राधिकरण प्रक्रिया के माध्यम से जा रहा है कि ऐप अपने निजी संदेश पढ़ने में सक्षम होगा। 16 जून को ट्विटर को यह मुद्दा बताया गया था और 24 घंटों से भी कम समय में संबोधित किया गया था।

"उन्होंने कहा कि यह मुद्दा जटिल कोड और गलत धारणाओं और मान्यताओं के कारण हुआ है," सीरूडो ने ब्लॉग पोस्ट में कहा।

हालांकि, ट्विटर का फिक्स पीछे से लागू नहीं होता प्रतीत होता है। ट्विटर ने इस मुद्दे को ठीक करने के बाद, ऐप सेरूडो परीक्षण कर रहे थे कि उनके खाते तक पहुंच पहले से ही प्रत्यक्ष संदेश प्रदर्शित करने के बावजूद उनके द्वारा प्राधिकरण प्राप्त करने के बावजूद कभी भी प्रदर्शित नहीं हुई थी।

सीरूडो ने कहा कि ट्विटर उपयोगकर्ताओं को यह जांचना चाहिए कि क्या उन्होंने पहले से अधिकृत किसी भी ऐप को अपने ज्ञान के बिना अपने प्रत्यक्ष संदेशों तक पहुंच प्राप्त की है। यह ट्विटर सेटिंग्स> ऐप्स पेज पर उनकी अनुमतियों की समीक्षा करके किया जा सकता है।

सेरूडो ने इस मुद्दे को सार्वजनिक करने का फैसला किया क्योंकि इसका गंभीर प्रभाव हो सकता है और क्योंकि ट्विटर ने सार्वजनिक सलाहकार या इसके बारे में घोषणा जारी नहीं की है। कंपनी ने एक समर्पित पृष्ठ बनाए रखना चाहिए जहां यह उपयोगकर्ताओं को सुरक्षा मुद्दों के बारे में सूचित कर सके।

ट्विटर ने तुरंत टिप्पणी के अनुरोध का जवाब नहीं दिया।