How data brokers sold my identity | Madhumita Murgia | TEDxExeter
Les utilisateurs qui se sont connectés à un tiers Les applications Web ou mobiles utilisant leurs comptes Twitter auraient pu donner à ces applications accès à leurs messages privés Twitter sans le savoir, selon Cesar Cerrudo, directeur de la technologie du cabinet de conseil en sécurité IOActive.
Le problème est le résultat de une faille dans l'API de Twitter (interface de programmation d'applications) qui a conduit les utilisateurs à ne pas être correctement informés des autorisations qu'une application aura sur leur accou nts une fois accordé l'accès. Cerrudo a décrit le problème et expliqué comment il l'a découvert dans un blog publié mardi.
Les applications qui permettent aux utilisateurs de se connecter avec leurs comptes Twitter doivent être enregistrés sur Twitter à l'adresse //dev.twitter.com/apps. Pendant l'inscription, leurs développeurs doivent déclarer le niveau d'accès que les applications auront sur les comptes des gens: "lecture seule", "lecture et écriture" ou "lecture, écriture et accès aux messages directs".
[Plus d'informations pour supprimer les logiciels malveillants de votre PC Windows]Lorsque les utilisateurs tentent de se connecter à une telle application pour la première fois en utilisant leurs comptes Twitter, ils sont redirigés vers une page d'autorisation sur le site Web de Twitter qui répertorie les autorisations demandées.
Cerrudo a déclaré avoir découvert le problème pendant qu'il testait une application développée par un ami qui avait une autorisation "lire, écrire et accéder aux messages directs" déclarée avec Twitter.
Quand il s'est connecté à l'application avec son Twitter compte, il a été redirigé vers une page d'autorisation qui l'a informé que l'application serait en mesure de lire les tweets de son calendrier, voir quels utilisateurs il suit, suivre de nouveaux utilisateurs en son nom, mettre à jour son profil inf Il a ajouté que l'organisation avait publié des tweets en son nom.
"Après avoir regardé la page affichée, j'espérais que Twitter ne donnerait pas à l'application l'accès à mon mot de passe et à mes messages directs", at-il ajouté. a écrit sur le blog. «Je pensais que mon compte était en sécurité, alors je me suis connecté et j'ai joué avec l'application.»
Le chercheur a remarqué que l'application avait des fonctionnalités pour accéder et afficher des messages directs, mais la fonctionnalité ne semblait pas fonctionner. Cela avait du sens parce qu'on ne lui avait pas demandé d'accorder cette autorisation.
Cependant, après s'être connecté et s'être connecté à Twitter à quelques reprises, ses messages directs ont commencé à apparaître dans l'application. En consultant la liste des applications autorisées à interagir avec son compte Twitter (Paramètres> Applications), il a remarqué que l'application avait en fait les permissions de lecture, d'écriture et d'accès direct aux messages.
"Je me suis rendu compte
Le chercheur a confirmé mardi qu'il avait réussi à reproduire le comportement plusieurs fois en révoquant l'accès à l'application et en recommençant le processus d'autorisation sans être averti que l'application serait capable de lire ses messages privés.
"Ils ont dit que le problème était dû à un code complexe et à des hypothèses et à des validations incorrectes", a déclaré Cerrudo dans le blog.
Cependant, le correctif de Twitter ne semble pas s'appliquer rétroactivement. Après que Twitter ait résolu le problème, l'application Cerrudo testait que l'accès à son compte continuait à afficher des messages directs, même s'il ne recevait jamais l'autorisation de le faire, a-t-il dit.
Les utilisateurs de Twitter devraient vérifier si l'une des applications qu'ils ont autorisées dans le passé a également accès à leurs messages directs à leur insu, a déclaré Cerrudo. Cela peut être fait en consultant leurs autorisations sur la page Twitter Paramètres> Applications.
Cerrudo a décidé de rendre ce numéro public parce qu'il peut avoir de sérieuses implications et parce que Twitter n'a pas publié d'avis public ou d'annonce à ce sujet. La société devrait maintenir une page dédiée où elle peut informer les utilisateurs sur les problèmes de sécurité, a-t-il dit.
Twitter n'a pas immédiatement répondu à une demande de commentaire.
Utilisateurs d'iPhone téléchargent cinq applications chacun, utilisent le Web La plupart des utilisateurs de smartphones téléchargent environ 5 applications, même les utilisateurs d'iPhone. Dans le monde entier, on télécharge généralement environ cinq applications logicielles, même des utilisateurs d'iPhone, selon InStat, un chercheur de marché.
Le nombre de téléchargements semble être en contradiction avec l'utilisation intensive de l'iPhone App Store.
La police de Mumbai a arrêté samedi un chercheur en sécurité qui a enquêté sur des problèmes de sécurité dans des machines à voter électroniques. chercheur en sécurité qui a enquêté sur les machines à voter électroniques (EVM) utilisées lors des élections indiennes a été arrêté par la police à Mumbai samedi. Hari Prasad et d'autres chercheurs ont publié une vidéo plus tôt cette année montrant comment, après avoir bricolé avec l'électronique interne d'un EVM, ils pourraient effectuer des attaques
En avril, Prasad a déclaré à IDG News Service que son groupe de chercheurs avait accès à une EVM opérationnelle. lors d'une élection par le biais d'une source anonyme.
Faille majeure de sécurité trouvée dans miui: les applications de sécurité tierces peuvent…
Des failles de sécurité critiques ont été découvertes dans le système d'exploitation MIUI, qui s'exécute sur tous les périphériques Xiaomi.