Twitter-Schwachstelle gab Apps unberechtigten Zugriff zu privaten Nachrichten
Jeder, der sein Twitter-Konto für eine App oder einen Webdienst freigibt, kennt das Prozedere. Nach dem Login über OAuth berechtigt ihr den Dienst verschiedene Funktionen auf eurem Twitter-Konto durchzuführen, z.B. Tweets schreiben, Nachrichten lesen usw.
Der Sicherheitsforscher Cesar Cerrudo hat jedoch eine Sicherheitslücke bei Twitter festgestellt, sodass auch Apps Zugriff auf private Nachrichten bekamen, die gar nicht vom Benutzer freigegeben worden waren.
Ohne explizite Freigabe dürfte eine App nie Zugriff bekommen. Eher zufällig bemerkte er, dass nach einiger Zeit das Recht für private Nachrichten lesen von Twitter erlaubt wurde, obwohl er es konsequent abgelehnt hatte. Er konnte das Verhalten anschließend mehrmals nachstellen und meldete die Sicherheitslücke bei Twitter, die diese auch innerhalb von 24h behoben.
Wie man auf dem Screenshot sieht, war zu Beginn alles völlig normal und der Zugriff für private Nachrichten verwehrt. Nach dem zweiten oder dritten Login hatte die App jedoch die vollständigen Rechte. Zwar hat man bei Twitter recht schnell reagiert, allerdings hat dies nur Auswirkungen auf neue Rechtefreigaben.
Alle anderen Apps haben eventuell bereits die Berechtigung erhalten und können die privaten Nachrichten einsehen. Daher sollte man wenigstens einmal einen Blick in die freigegebenen Apps bei Twitter werfen und die jeweiligen Rechte überprüfen. Cerrudo kritisiert zudem, dass sich Twitter bisher überhaupt nicht zu dem Vorfall geäußert hat und hat daher den Bericht veröffentlicht.
Ein kurzes Statement hätte Twitter in jedem Fall nicht geschadet und wäre allemal transparenter und ehrlicher, als alles unter Verschluss zu halten. [via]
Naja, wer benutzt denn schon die privaten Nachrichten auf Twitter? Also ich nicht. 😀
@Puh Es gibt auch Apps und Webdienste, die zum Beispiel das Teilen von Inhalten ermöglichen, ohne dass dahinter ein Client steckt, den man aktiv nutzt. Solche Dienste brauchen keine Rechte für DMs. Die Kritik ist also durchaus berechtigt.