Русский разработчик нашёл уязвимость в личных сообщениях в Twitter Статьи редакции
Специалист по информационной безопасности компании Sakurity Егор Хомаков обнаружил возможность рассылать спам в личных сообщениях Twitter при помощи сторонних приложений. Об этом сообщает The Next Web.
Сторонние приложения, работающие с аккаунтом пользователя Twitter, но не имеющие разрешения на отправку личных сообщений, всё равно могут их посылать. Для этого используется так называемая SMS-команда: сокращение [d username], написав которое в тексте обычного твита можно отправить его личным сообщением.
Как объясняет Хомаков, при публикации фотографии с сервиса Twitpic в Twitter он прописал в тексте сообщения команду для отправки личного сообщения. Несмотря на то, что приложение Twitpic не запрашивает разрешения на отправку личных сообщений, оно всё равно может делать это при помощи SMS-команды.
Хомаков перечисляет три причины, по которым он считает этот способ отправки личных сообщений багом. Во-первых, приложение должно получать разрешение на чтение и отправку сообщений (в случае с Twitpic этого не произошло). Во-вторых, в DM не отображается клиент, с которого отправлено сообщение, что открывает возможности для фишеров, отправляющих твиты от чужого имени.
В конце концов, спам через DM менее заметен для самого пользователя: пока ему не сообщат читатели, он может и не заходить в личные сообщения и не узнать, что разослал спам. Предполагается, что его рассылкой может заняться недобросовестное стороннее приложение, получившее стандартное разрешение от пользователя Twitter.
В самом сервисе микроблогов не находят в этом ничего плохого. Другой специалист по безопасности рассказал Хомакову, что несколько раз сообщал в Twitter об этой уязвимости ещё год назад, однако в компании заверили, что всё так и должно работать.
@homakov I know. I told them. They said it is a Twitter feature and should be left as is
— DaKnOb (@DaKnObCS) December 14, 2013
TJournal протестировал уязвимость: при публикации фотографии в Twitter, например, из Twitpic или Instagram, действительно удаётся отправить личное сообщение, как и при использовании кнопки «Share on Twitter» на сторонних сайтах.
А ещё можно написать в твите "follow @i_compman" и посмотреть, что будет!
Ретвитни, если тобой нельзя манипулировать!
Я еще месяца два назад нашел clickjacking в твиттере, но они такие уязвимости не принимают. Можно тоже всем про нее рассказать?)
о господи боже мой да через эту дыру львиная куча спама и лилась, и неоднократно о нейй в тви сообщалось, но их ответ, проблема не на нашей стороне, а на стороне приложения
«Это не баг, это фича!» ахахаха
Комментарий удален модератором
Вообще-то это старинная команда, которая еще в древние времени позволяла отправлять LVrb пользователям. Хакеры нашли её!
Ох уж этот твиттер
Комментарий удален модератором