Vídeo: Como Desativar e Ver Conteúdo Sensível no Twitter - Atualizado (Novembro 2024)
Um pesquisador de segurança descobriu um bug no código do Twitter, que pode resultar em aplicativos de terceiros acessando mensagens diretas privadas sem a aprovação explícita do usuário.
Muitos aplicativos da Web permitem que os usuários façam login usando suas contas do Twitter e do Facebook em vez de criar outra conta. É conveniente que usuários e desenvolvedores de aplicativos possam acessar dados do usuário armazenados no site de rede social. Cesar Cerrudo, pesquisador de segurança da IOActive, encontrou uma falha na qual esses aplicativos poderiam acabar com níveis de acesso mais altos do que deveriam.
Em uma postagem no blog da IOActive Labs Research, Cerrudo descreveu como estava testando um aplicativo da Web (ainda em desenvolvimento) que permitia que os usuários acessassem o Twitter ou o Facebook. Na página "Fazer login", Cerrudo viu que o aplicativo poderia exibir seus tweets públicos, postar em sua conta, ver seus seguidores, seguir novas pessoas e fazer alterações no perfil. A página também declarou explicitamente que o aplicativo não teria acesso às suas Mensagens Diretas ou à sua senha.
"Depois de visualizar a página da Web exibida, confiei que o Twitter não daria ao aplicativo acesso a minha senha e mensagens diretas. Eu senti que minha conta estava segura, então entrei e brinquei com o aplicativo", escreveu Cerrudo.
Alteração dos níveis de permissão
O aplicativo realmente tinha a capacidade de exibir Mensagens Diretas, mas o Twitter impediu o aplicativo de executar essas ações com sucesso porque ele só tinha permissões de "leitura, gravação", disse Cerrudo. Se o aplicativo quisesse exibir as mensagens particulares, seria necessário solicitar o nível mais alto de acesso por meio da página "Autorizar aplicativo".
No entanto, depois de entrar e sair do aplicativo e do Twitter algumas vezes, o aplicativo começou a exibir suas mensagens diretas. Cerrudo verificou as configurações do aplicativo e viu que de repente tinha permissões de "ler, escrever e ver mensagens diretas", disse Cerrudo. Ele alegou que nunca viu a página do aplicativo Autorizar.
"Isso foi feito sem autorização e o Twitter não exibiu nenhuma mensagem sobre isso. Era um truque simples para aplicativos de terceiros obterem acesso às mensagens diretas do usuário no Twitter", escreveu Cerrudo.
Cerrudo não conseguiu descobrir por que isso estava acontecendo e notificou o Twitter. A equipe de segurança respondeu prontamente e fechou o problema; portanto, os aplicativos não devem mais ser arbitrários, obtendo privilégios aumentados. No entanto, corrigir a falha não significa que nenhum dos aplicativos que conseguiram ignorar as configurações de segurança do Twitter foram redefinidos para os níveis de permissão originais.
"Após a correção de segurança, o aplicativo que eu testei ainda tinha acesso a mensagens diretas até revogá-lo", escreveu Cerrudo.
Verifique seus aplicativos
Você deve auditar periodicamente a lista de aplicativos que têm permissão para acessar suas contas do Twitter e do Facebook para garantir que não haja surpresas inesperadas. Verifique se todos os aplicativos autorizados são os aplicativos que você adicionou e ainda precisam. Largue o que você não usa mais. Além disso, verifique os níveis de permissão para garantir que as configurações sejam apropriadas.
No Twitter, você pode clicar no ícone de engrenagem ao lado da caixa de pesquisa na parte superior da tela e selecionar Configurações. Depois de selecionar Aplicativos (no lado esquerdo da tela), você verá todos os aplicativos que têm acesso à sua conta e quando ela foi adicionada. Os níveis de permissão estão listados logo abaixo do nome do aplicativo. Se algum deles não estiver na lista, clique no botão "Revogar acesso".
No Facebook, você pode clicar no ícone de engrenagem no canto superior direito da tela e selecionar Configurações da conta. Depois de selecionar Aplicativos (no lado esquerdo da tela), você verá todos os aplicativos, jogos, plugins e sites que têm acesso à sua conta, além dos níveis de permissão. Você pode clicar em Editar para ajustar as permissões ou no "x" para removê-lo completamente.
Demora apenas alguns minutos, mas vale a pena garantir que aplicativos de terceiros não colhem seus dados pessoais.