Video: Cara melihat konten sensitif twitter pada iPhone (Oktober 2024)
Seorang peneliti keamanan menemukan bug dalam kode Twitter yang mungkin mengakibatkan beberapa aplikasi pihak ketiga mendapatkan akses ke pesan langsung pribadi tanpa persetujuan eksplisit pengguna.
Banyak aplikasi Web memungkinkan pengguna untuk masuk menggunakan akun Twitter dan Facebook mereka alih-alih membuat akun lain. Sangat nyaman bagi pengguna dan pengembang aplikasi dapat mengakses data pengguna yang disimpan di situs jejaring sosial. Cesar Cerrudo, seorang peneliti keamanan dengan IOActive, menemukan kesalahan di mana aplikasi ini dapat berakhir dengan tingkat akses yang lebih tinggi daripada yang seharusnya.
Dalam sebuah posting di blog IOActive Labs Research, Cerrudo menjelaskan bagaimana dia menguji aplikasi Web (masih dalam pengembangan) yang memungkinkan pengguna untuk masuk dengan Twitter atau Facebook. Pada halaman "Masuk", Cerrudo melihat bahwa aplikasi akan dapat melihat tweet publiknya, memposting di akunnya, melihat pengikut-pengikutnya, mengikuti orang-orang baru, dan membuat perubahan pada profil. Halaman ini juga secara eksplisit menyatakan aplikasi tidak akan memiliki akses ke Pesan Langsung atau kata sandinya.
"Setelah melihat halaman web yang ditampilkan, saya percaya bahwa Twitter tidak akan memberikan akses aplikasi ke kata sandi dan pesan langsung saya. Saya merasa bahwa akun saya aman, jadi saya masuk dan bermain dengan aplikasi itu, " tulis Cerrudo.
Mengubah Tingkat Izin
Aplikasi sebenarnya memiliki kemampuan untuk menampilkan Pesan Langsung, tetapi Twitter memblokir aplikasi agar tidak berhasil melakukan tindakan-tindakan itu karena hanya memiliki izin "baca, tulis", kata Cerrudo. Jika aplikasi ingin menampilkan pesan pribadi, aplikasi harus meminta tingkat akses yang lebih tinggi melalui halaman "Otorisasi aplikasi".
Namun, setelah masuk dan keluar dari aplikasi dan Twitter beberapa kali, aplikasi mulai menampilkan pesan langsungnya. Cerrudo memeriksa pengaturan aplikasi dan melihatnya tiba-tiba telah "membaca, menulis, dan melihat pesan langsung" izin, kata Cerrudo. Dia mengaku tidak pernah melihat halaman aplikasi Otorisasi.
"Itu dilakukan tanpa izin, dan Twitter tidak menampilkan pesan apa pun tentang ini. Itu adalah trik bypass sederhana untuk aplikasi pihak ketiga untuk mendapatkan akses ke pesan langsung Twitter pengguna, " tulis Cerrudo.
Cerrudo tidak tahu mengapa ini terjadi dan memberi tahu Twitter. Tim keamanan segera merespons dan menutup masalah ini, sehingga aplikasi tidak boleh lagi secara sewenang-wenang mendapatkan peningkatan hak istimewa. Namun, memperbaiki kekurangan itu tidak berarti aplikasi apa pun yang berhasil melewati pengaturan keamanan Twitter telah direset ke tingkat izin semula.
"Setelah perbaikan keamanan, aplikasi yang saya uji masih memiliki akses ke pesan langsung sampai saya mencabutnya, " tulis Cerrudo.
Periksa Aplikasi Anda
Anda harus secara berkala mengaudit daftar aplikasi yang memiliki izin untuk mengakses akun Twitter dan Facebook Anda untuk memastikan tidak ada kejutan yang tidak terduga. Periksa untuk memastikan semua aplikasi yang diotorisasi adalah aplikasi yang Anda tambahkan, dan masih perlu. Jatuhkan apa pun yang tidak Anda gunakan lagi. Juga, periksa level izin untuk memastikan pengaturannya sesuai.
Di Twitter, Anda dapat mengklik ikon roda gigi di sebelah kotak pencarian di bagian atas layar dan pilih Pengaturan. Setelah memilih ke Aplikasi (di sisi kiri layar), Anda akan melihat semua aplikasi yang memiliki akses ke akun Anda, dan ketika itu ditambahkan. Level izin terdaftar tepat di bawah nama aplikasi. Jika salah satu dari mereka tidak ada dalam daftar, klik tombol "Cabut Akses".
Di Facebook, Anda dapat mengklik ikon roda gigi di sudut kanan atas layar dan pilih Pengaturan Akun. Setelah memilih ke Aplikasi (di sebelah kiri layar), Anda akan melihat semua aplikasi, game, plugin, dan situs web yang memiliki akses ke akun Anda, bersama dengan tingkat izin. Anda dapat mengklik Edit untuk menyesuaikan izin atau "x" untuk menghapusnya sepenuhnya.
Hanya perlu beberapa menit, tetapi perlu memastikan bahwa aplikasi pihak ketiga tidak mengambil data pribadi Anda.
