Chrome Apps: Speech to Tweet & Audio Tweet
Användare som loggade in på tredje part Web- eller mobilapplikationer som använder sina Twitter-konton kan ha gett dessa applikationer tillgång till sina Twitter-privata direktmeddelanden utan att veta det, enligt Cesar Cerrudo, chefskonsulent för säkerhetskonsultföretaget IOActive.
Problemet är resultatet av en fel i Twitters API (applikationsprogrammeringsgränssnitt) som ledde till att användarna inte informerades korrekt om vilka behörigheter en ansökan kommer att ha på deras accou nts en gång beviljat tillgång. Cerrudo beskriver problemet och förklarade hur han upptäckte det i ett blogginlägg som publicerades tisdag.
Program som tillåter användare att logga in med sina Twitter-konton måste registreras på Twitter på //dev.twitter.com/apps. Under registreringen måste deras utvecklare avgöra vilken åtkomst som applikationerna ska ha på folks konton: "läs bara", "läs och skriv" eller "läs, skriv och åtkomst till direktmeddelanden."
[Ytterligare läsning: Hur att ta bort skadlig kod från din Windows-dator]När användare försöker logga in på en sådan applikation för första gången med sina Twitter-konton, blir de omdirigerade till en behörighetssida på Twitters webbplats som listar de behörigheter som begärts av det specifika programmet.
Cerrudo sa att han upptäckte problemet medan han testade en ansökan som utvecklats av en vän som hade en "läs, skriv och åtkomst till direktmeddelanden" tillstånd som deklarerades med Twitter.
När han först loggade in på ansökan med sin Twitter konto, omdirigerades han till en behörighetssida som informerade honom om att ansökan skulle kunna läsa tweets från sin tidslinje, se vilka användare han följer, följ nya användare på hans vägnar, uppdatera sin profilinf ormation och post tweets på hans vägnar, sade han. Sidan noterade tydligt att programmet inte skulle kunna komma åt direktmeddelanden eller kontoens lösenord.
"Efter att ha tittat på den visade webbsidan litade jag på att Twitter inte skulle ge ansökan åtkomst till mitt lösenord och direktmeddelanden" skrev på bloggen. "Jag kände att mitt konto var säkert, så jag loggade in och spelade med programmet."
Forskaren märkte att programmet hade funktionalitet för att få tillgång till och visa direktmeddelanden, men funktionen verkade inte fungera. Det var förnuftigt eftersom han inte hade blivit ombedd att bevilja det tillståndet.
Men efter att ha anmält in och ut av applikationen och Twitter några gånger, började direktmeddelandenna visas i ansökan. När han kontrollerade listan över applikationer som var behöriga att interagera med sitt Twitter-konto (Inställningar> Appar) såg han att programmet faktiskt hade läs, skriv och få tillgång till direktmeddelanden.
"Jag insåg att det här var en stor säkerhet hål ", säger Cerrudo.
Forskaren bekräftade tisdagen att han framgångsrikt reproducerade beteendet flera gånger genom att återkalla åtkomst till appen och gå igenom auktoriseringsprocessen igen utan att bli varnad att appen skulle kunna läsa sina privata meddelanden. Frågan rapporterades till Twitter den 16 januari och behandlades på mindre än 24 timmar, sade han. "De sa att problemet uppstod på grund av komplex kod och felaktiga antaganden och valideringar," sa Cerrudo i bloggposten.
Twitter-åtgärden verkar dock inte tillämpas retroaktivt. Efter Twitter fixade problemet, appen Cerrudo testade som redan hade tillgång till hans konto fortsatte att visa direktmeddelanden trots att han aldrig fick tillstånd från honom att göra det, sa han.
Twitter-användare bör kontrollera om några av de appar som de auktoriserade tidigare fick tillgång till sina direktmeddelanden utan deras kunskaper, sa Cerrudo. Det här kan göras genom att granska sina behörigheter på sidan Twitter Settings> Apps.
Cerrudo bestämde sig för att göra denna fråga offentlig eftersom den kan få allvarliga konsekvenser och eftersom Twitter inte utfärde en offentlig rådgivning eller ett meddelande om det. Företaget bör behålla en dedikerad sida där den kan informera användarna om säkerhetsproblem, sa han.
Twitter svarade inte omedelbart på en begäran om kommentarer.
IBM pratar om att köpa Sun, enligt The Wall Street Journal, som leder analytiker och branschobservatörer att väga in på fördelarna och nackdelarna. Steve Ballmer gav det en tumme eftersom allt som distraherar IBM från affärsdelen av sitt namn är bra av honom. Talar om Ballmer kom IE8 ut denna vecka. Apple gav också världen en titt - se vid den kommande iPhone 3.0-programvaran.
Rapport: IBM är i samtal för att köpa Sun Microsystems, Ballmer: IBM-Sun-avtalet kan hjälpa Microsoft och om IBM och Sun slås samman, se upp Oracle och SAP: IBM vill köpa Sun Microsystems, enligt The Wall Street Journal, och de två är i samtal riktad mot det målet. Microsoft CEO Steve Ballmer tycker också om att han skulle säga att hans företag skulle få konkurrensfördelar medan IBM var upptagen med hur man införlivar Sun i en sammanslagd enhet. En sådan affär kan också ändra hur Oracle och SAP
Teradata-meddelanden Målgrupp, privata moln
Teradata är inriktad på offentliga och privata moln med nya datalagringsprodukter presenterade måndag.
Microsoft börjar snart skjuta Windows 10-appmeddelandena till företag och uppmanar dem att uppgradera till Windows. Om din organisation inte är redo för det eller om du inte vill uppgradera till Windows 10 av någon anledning, kan du inaktivera inaktivera Få meddelanden om Windows 10-appen med hjälp av grupprincip. Vi har redan sett hur du tar bort Windows 10 App-ikonen med hjälp av Registereditorn. Låt oss nu se hur du
Blockerar automatisk Windows 10 Upgrade