ثغرة أمنية في تويتر تتيح إرسال الرسائل الخاصة بدون طلب الصلاحيات

output

اكتشف الخبير الأمني Egor Homakov ثغرة في موقع تويتر تتيح للتطبيقات بأن ترسل رسائل خاصة بدون الحاجة للتأكد من حصولك على إذن و صلاحية بإرسالها.

وتعني هذه الثغرة أن التطبيقات التي لا تطلب في صلاحياتها السماح لها بإرسال الرسائل الخاصة، سيمكنها بالفعل إرسال تلك الرسائل حتى لو لم تظهر ضمن صلاحياتها. لكن هذا لا يعني أنه يمكنك إرسال الرسائل الخاصة لشخص لا تتابعه ولايتابعك.

twitpic_authorize

وعلى سبيل المثال خدمة الصور Twitpic لا تطلب صلاحية الوصول إلى رسائلك الخاصة عندما تربطها و توثقها مع حسابك. لكن ومع هذا يمكنك عبرها إرسال رسائل خاصة عن طريق وضع حرف d ثم كتابة اسم المستخدم المراد الإرسال إليه وبعدها كتابة الرسالة.

والجدير بالذكر أن هذه الطريقة لاتصلح مع كل التطبيقات حيث يقوم بعضها بمنعها مثل تطبيق جدولة التغريدات Buffer.

ويشرح Homakov عن الثغرة المكتشفة قائلاً أن التطبيقات يفترض بها أن تملك صلاحية قراءة وكتابة الرسائل الخاصة، لكن مع هذه الثغرة يمكن تجاوز هذه الصلاحية.

ويمكن إستخدام الثغرة لإرسال الرسائل الدعائية المزعجة Spam، ولا تظهر الرسائل الخاصة التطبيق المستخدم بإرسالها بالتالي يمكن إستخدامها في عمليات التصيد والخداع وسرقة الحسابات.

المصدر

 

تعليقات عبر الفيسبوك