Twitter corrigió un error que permite que una aplicación de terceros lea el mensaje del usuario sin el consentimiento del usuario
El error reside en las aplicaciones que utilizan el PIN para completar la autorización en lugar del procedimiento basado en token OAuth.
Terence Eden descubrió el error de Twitter y lo envió a Twitter a través de HackerOneplataforma. Se le otorgó $ 2,940 por informar el error.
Eden dice que las claves de la API de Twitter están disponibles libremente, lo que permite que una aplicación de Twitter no aprobada aún pueda utilizar la API de Twitter.
Twitter ha impuesto alguna restricción de seguridad para las aplicaciones, la importante es las URL de devolución de llamada que limitan el acceso de las aplicaciones solo a las URL predefinidas.
Pero no todas las aplicaciones tienen la URL o admiten devoluciones de llamada, en cambio, algunas utilizan autorización secundaria que permite a los usuarios iniciar sesión al ingresar un PIN en la aplicación y la aplicación del PIN no muestra la información correcta de OAuth al usuario.
Por alguna razón, la pantalla OAuth de Twitter dice que estas aplicaciones no tienen acceso a los mensajes directos. ¡Pero lo hacen! En resumen, los usuarios podrían ser engañados para permitir el acceso a sus DM, lee la publicación del blog de Eden .
Eden reportó el error a Twitter el 2018-11-06 y Twitter solucionó el problema para el 2018-12-06. Aquí puede encontrar el código Python de prueba de concepto .
Twitter informó que no le creemos a nadie. fue engañadopor los permisos que tenían estas aplicaciones o por el que Twitter para el iPhone o Twitter para las aplicaciones de Google TV accedían involuntariamente a sus datos, ya que esas aplicaciones utilizan otros flujos de autenticación. Por lo que sabemos, no hubo una violación de la información de nadie debido a este problema. No hay acciones que las personas deban tomar en este momento.
Recientemente, Facebook solucionó y reveló un nuevo error en la foto API que puede haber sido afectado por casi 68 millones de usuarios y 1,500 aplicaciones creadas por 876 desarrolladores.
Fecha actualización el 2021-12-17. Fecha publicación el 2018-12-17. Categoría: Twitter Autor: Oscar olg Mapa del sitio Fuente: gbhackers