비디오: WAP Parody Cardi B - GUACAMOLE - Merrell Twins (십월 2024)
보안 연구원은 트위터 코드의 버그를 발견하여 일부 타사 응용 프로그램이 사용자의 명시적인 승인없이 비공개 메시지에 액세스 할 수있었습니다.
많은 웹 응용 프로그램에서는 사용자가 다른 계정을 만드는 대신 Twitter 및 Facebook 계정을 사용하여 로그인 할 수 있습니다. 사용자와 응용 프로그램 개발자가 소셜 네트워킹 사이트에 저장된 사용자 데이터에 액세스 할 수있어 편리합니다. IOActive의 보안 연구원 인 Cesar Cerrudo는 이러한 응용 프로그램이 필요한 것보다 더 높은 수준의 액세스 권한을 가질 수있는 결함을 발견했습니다.
Cerrudo는 IOActive Labs Research 블로그의 한 게시물에서 사용자가 Twitter 또는 Facebook으로 로그인 할 수있는 웹 응용 프로그램 (여전히 개발 중)을 테스트하는 방법을 설명했습니다. "로그인"페이지에서 Cerrudo는 애플리케이션이 공개 트윗을보고, 자신의 계정에 게시하고, 팔로워를보고, 새로운 사람들을 팔로우하고, 프로필을 변경할 수 있음을 보았습니다. 이 페이지는 또한 애플리케이션이 자신의 직접 메시지 또는 비밀번호에 액세스 할 수 없다고 명시 적으로 언급했습니다.
Cerrudo는 "표시된 웹 페이지를 본 후 Twitter가 애플리케이션에 비밀번호 및 직접 메시지에 대한 액세스 권한을 부여하지 않을 것이라고 믿었습니다. 내 계정이 안전하다고 생각했기 때문에 로그인하여 애플리케이션으로 플레이했습니다"라고 Cerrudo는 말했습니다.
권한 수준 변경
Cerrudo는 애플리케이션에 직접 메시지를 표시하는 기능이 있었지만 Twitter는 애플리케이션이 "읽기, 쓰기"권한 만 가지고 있기 때문에 이러한 작업을 수행하지 못하도록 차단했다고 말했다. 응용 프로그램이 개인 메시지를 표시하려면 "응용 프로그램 승인"페이지를 통해 더 높은 수준의 액세스를 요청해야합니다.
그러나 응용 프로그램과 Twitter에 몇 번 로그인 및 로그 아웃 한 후 응용 프로그램에서 직접 메시지를 표시하기 시작했습니다. Cerrudo는 애플리케이션의 설정을 확인한 후 갑자기 "직접 메시지를 읽고, 쓰고, 보고"권한을 가지고 있다고 Cerrudo는 말했다. 그는 승인 앱 페이지를 본 적이 없다고 주장했습니다.
Cerrudo는 "허가없이 인증을 받았으며 Twitter는 이에 대한 메시지를 표시하지 않았습니다. 타사 응용 프로그램이 사용자의 Twitter 직접 메시지에 액세스 할 수있는 간단한 우회 방법"이라고 Cerrudo는 말했습니다.
Cerrudo는 왜 이런 일이 일어나고 Twitter에 통보되었는지 알 수 없었습니다. 보안 팀이 신속하게 대응하고 문제를 해결 했으므로 더 이상 응용 프로그램이 더 이상 권한을 얻지 않아야합니다. 그러나 결함을 수정했다고해서 Twitter의 보안 설정을 우회 한 응용 프로그램이 원래 권한 수준으로 재설정 된 것은 아닙니다.
Cerrudo는 "보안 수정 이후에도 테스트 한 애플리케이션은이를 취소 할 때까지 직접 메시지에 액세스 할 수있었습니다.
응용 프로그램 확인
예상치 못한 놀라움이 없는지 확인하기 위해 Twitter 및 Facebook 계정에 액세스 할 수있는 권한이있는 응용 프로그램 목록을 정기적으로 감사해야합니다. 인증 된 모든 응용 프로그램이 추가 한 응용 프로그램인지 확인하십시오. 더 이상 사용하지 않는 것은 버립니다. 또한 권한 수준을 확인하여 설정이 적절한 지 확인하십시오.
Twitter에서는 화면 상단의 검색 창 옆에있는 톱니 바퀴 아이콘을 클릭하고 설정을 선택할 수 있습니다. 화면 왼쪽의 앱을 선택하면 계정에 액세스 할 수있는 모든 앱과 추가 된 시간이 표시됩니다. 권한 수준은 응용 프로그램 이름 바로 아래에 나열됩니다. 목록에없는 것이 있으면 "액세스 취소"버튼을 클릭하십시오.
Facebook에서는 화면 오른쪽 상단의 톱니 바퀴 아이콘을 클릭하고 계정 설정을 선택할 수 있습니다. 화면 왼쪽의 앱을 선택하면 권한 수준과 함께 계정에 액세스 할 수있는 모든 응용 프로그램, 게임, 플러그인 및 웹 사이트가 표시됩니다. 편집을 클릭하여 권한을 조정하거나 "x"를 사용하여 완전히 제거 할 수 있습니다.
몇 분 밖에 걸리지 않지만 타사 앱이 개인 데이터를 수집하지 않도록하는 것이 좋습니다.
