Twitter-Schwachstelle gab Apps unberechtigten Zugriff zu privaten Nachrichten

Jeder, der sein Twitter-Konto für eine App oder einen Webdienst freigibt, kennt das Prozedere. Nach dem Login über OAuth berechtigt ihr den Dienst verschiedene Funktionen auf eurem Twitter-Konto durchzuführen, z.B. Tweets schreiben, Nachrichten lesen usw.

Der Sicherheitsforscher Cesar Cerrudo hat jedoch eine Sicherheitslücke bei Twitter festgestellt, sodass auch Apps Zugriff auf private Nachrichten bekamen, die gar nicht vom Benutzer freigegeben worden waren.

Twitter

Ohne explizite Freigabe dürfte eine App nie Zugriff bekommen. Eher zufällig bemerkte er, dass nach einiger Zeit das Recht für private Nachrichten lesen von Twitter erlaubt wurde, obwohl er es konsequent abgelehnt hatte. Er konnte das Verhalten anschließend mehrmals nachstellen und meldete die Sicherheitslücke bei Twitter, die diese auch innerhalb von 24h behoben.

Twitter Sicherheitslücke

Bilder: IOActive

Wie man auf dem Screenshot sieht, war zu Beginn alles völlig normal und der Zugriff für private Nachrichten verwehrt. Nach dem zweiten oder dritten Login hatte die App jedoch die vollständigen Rechte. Zwar hat man bei Twitter recht schnell reagiert, allerdings hat dies nur Auswirkungen auf neue Rechtefreigaben.

Alle anderen Apps haben eventuell bereits die Berechtigung erhalten und können die privaten Nachrichten einsehen. Daher sollte man wenigstens einmal einen Blick in die freigegebenen Apps bei Twitter werfen und die jeweiligen Rechte überprüfen. Cerrudo kritisiert zudem, dass sich Twitter bisher überhaupt nicht zu dem Vorfall geäußert hat und hat daher den Bericht veröffentlicht.

Ein kurzes Statement hätte Twitter in jedem Fall nicht geschadet und wäre allemal transparenter und ehrlicher, als alles unter Verschluss zu halten. [via]

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Der Gastautor ist ein toller Autor. Denn er ist das Alter Ego derjenigen, die hier ab und zu für frischen Wind sorgen. Unregelmäßig, oftmals nur 1x. Der Gastautor eben.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

2 Kommentare

  1. Nikazilla (@Nikazilla09) says:

    Naja, wer benutzt denn schon die privaten Nachrichten auf Twitter? Also ich nicht. 😀

  2. @Puh Es gibt auch Apps und Webdienste, die zum Beispiel das Teilen von Inhalten ermöglichen, ohne dass dahinter ein Client steckt, den man aktiv nutzt. Solche Dienste brauchen keine Rechte für DMs. Die Kritik ist also durchaus berechtigt.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.