Twitter修复一个会将私信泄露给第三方APP的漏洞
研究人员Terence Eden发现,当对某些APP授予Twitter权限时,权限选择框会向第三方APP泄露用户私信内容。
当APP需要PIN码来完成授权过程而不是使用OAuth协议时,就会触发该漏洞。专家发现某些权限,比如访问私信的权限,对Twitter用户来说是隐藏的,是没有选择权的。
Terence Eden因通过HackerOne平台向Twitter报告漏洞而获得2940美元。根据Eden的说法,该缺陷存在于Twitter的API接口处理密钥和secret的方式,即使服务的授权,APP的开发人员也可以访问这些密钥和secret。
“许多年前,官方Twitter的API接口密钥就被泄露了。这意味着那些没有获得Twitter批准的APP的开发者仍然能够访问Twitter的API。”Eden写道。
“而由于其他原因,Twitter的OAuth认证会反馈这些APP不能访问私信。但实际上它们是可以的!
简而言之,用户在能不能访问他们私信这一方面被欺骗了。”
Twitter采取了一些防范措施,其中最重要的是限制回调地址。成功登录后,APP只能返回到预定义的URL,以防止通过滥用Twitter密钥将用户发送到第三方APP。
但问题是,有些APP没有URL或者不支持回调。对于这些APP,Twitter已经使用另一种授权机制,当用户登录时,它提供一个PIN码,然后用户把PIN码输入到APP中。
在这个利用场景下,Eden发现APP没有向用户显示正确的OAuth认证细节,特别是APP不能访问用户私信。
漏洞时间线:
2018-11-06 通过HackerOne提交漏洞
2018-11-06 提供漏洞说明和POC
2018-11-15 由于美国假期而推迟到为11月30日。
2018-11-16 赏金2940美元。填写W2表格表示我不是美国纳税人。
2018-11-17 喝适量的苹果酒。
2018-11-21 2287.05欧元存入我的英国银行账户。也可以通过PayPal接收。
2018-12-06 Twitter解决了这个漏洞,并公布了奖金。他们通知我可以公开。
2018-12-14 发表了这份报告。
原文链接:https://securityaffairs.co/wordpress/78933/social-networks/twitter-bug-dm-exposure.html
最新评论