Twitter-Schwachstelle gab Apps unberechtigten Zugriff zu privaten Nachrichten

26. Januar 2013 Kategorie: Internet, Social Network, geschrieben von: Patrick Meyhöfer

Jeder, der sein Twitter-Konto für eine App oder einen Webdienst freigibt, kennt das Prozedere. Nach dem Login über OAuth berechtigt ihr den Dienst verschiedene Funktionen auf eurem Twitter-Konto durchzuführen, z.B. Tweets schreiben, Nachrichten lesen usw.

Der Sicherheitsforscher Cesar Cerrudo hat jedoch eine Sicherheitslücke bei Twitter festgestellt, sodass auch Apps Zugriff auf private Nachrichten bekamen, die gar nicht vom Benutzer freigegeben worden waren.

Twitter

Ohne explizite Freigabe dürfte eine App nie Zugriff bekommen. Eher zufällig bemerkte er, dass nach einiger Zeit das Recht für private Nachrichten lesen von Twitter erlaubt wurde, obwohl er es konsequent abgelehnt hatte. Er konnte das Verhalten anschließend mehrmals nachstellen und meldete die Sicherheitslücke bei Twitter, die diese auch innerhalb von 24h behoben.

Twitter Sicherheitslücke

Bilder: IOActive

Wie man auf dem Screenshot sieht, war zu Beginn alles völlig normal und der Zugriff für private Nachrichten verwehrt. Nach dem zweiten oder dritten Login hatte die App jedoch die vollständigen Rechte. Zwar hat man bei Twitter recht schnell reagiert, allerdings hat dies nur Auswirkungen auf neue Rechtefreigaben.

Alle anderen Apps haben eventuell bereits die Berechtigung erhalten und können die privaten Nachrichten einsehen. Daher sollte man wenigstens einmal einen Blick in die freigegebenen Apps bei Twitter werfen und die jeweiligen Rechte überprüfen. Cerrudo kritisiert zudem, dass sich Twitter bisher überhaupt nicht zu dem Vorfall geäußert hat und hat daher den Bericht veröffentlicht.

Ein kurzes Statement hätte Twitter in jedem Fall nicht geschadet und wäre allemal transparenter und ehrlicher, als alles unter Verschluss zu halten. [via]

»

Gefällt dir der Artikel?
Dann teile ihn mit deinen Freunden.
Nutze dafür einfach unsere Links:
Über den Autor: Patrick Meyhöfer

#Linux, #Ubuntu, #OpenSource #Android sind meine Themen. Du findest mich auch auf Twitter und Google+. Zudem schreibe ich Beiträge für freiesMagazin und auf meinem Blog Softwareperlen .

Patrick hat bereits 404 Artikel geschrieben.


3 Kommentare

Puh 26. Januar 2013 um 09:09 Uhr

Was soll eigentlich die Aufregung? Natürlich will ich mit einer Twitter – App auch DM lesen und schreiben können ohne dies explizit nochmal vorab freizugeben, oder benutzt irgendjemand eine Twitter-App ohne damit DM zu lesen oder zu schreiben?

Nikazilla (@Nikazilla09) 26. Januar 2013 um 10:12 Uhr

Naja, wer benutzt denn schon die privaten Nachrichten auf Twitter? Also ich nicht. :D

icancompute 26. Januar 2013 um 16:19 Uhr

@Puh Es gibt auch Apps und Webdienste, die zum Beispiel das Teilen von Inhalten ermöglichen, ohne dass dahinter ein Client steckt, den man aktiv nutzt. Solche Dienste brauchen keine Rechte für DMs. Die Kritik ist also durchaus berechtigt.


Deine Meinung ist uns wichtig...

Kommentar verfassen

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich eine Zusammenstellung.