Twitter修复一个会将私信泄露给第三方APP的漏洞

研究人员Terence Eden发现，当对某些APP授予Twitter权限时，权限选择框会向第三方APP泄露用户私信内容。

当APP需要PIN码来完成授权过程而不是使用OAuth协议时，就会触发该漏洞。专家发现某些权限，比如访问私信的权限，对Twitter用户来说是隐藏的，是没有选择权的。

Terence Eden因通过HackerOne平台向Twitter报告漏洞而获得2940美元。根据Eden的说法，该缺陷存在于Twitter的API接口处理密钥和secret的方式，即使服务的授权，APP的开发人员也可以访问这些密钥和secret。

“许多年前，官方Twitter的API接口密钥就被泄露了。这意味着那些没有获得Twitter批准的APP的开发者仍然能够访问Twitter的API。”Eden写道。

“而由于其他原因，Twitter的OAuth认证会反馈这些APP不能访问私信。但实际上它们是可以的！

简而言之，用户在能不能访问他们私信这一方面被欺骗了。”

Twitter采取了一些防范措施，其中最重要的是限制回调地址。成功登录后，APP只能返回到预定义的URL，以防止通过滥用Twitter密钥将用户发送到第三方APP。

但问题是，有些APP没有URL或者不支持回调。对于这些APP，Twitter已经使用另一种授权机制，当用户登录时，它提供一个PIN码，然后用户把PIN码输入到APP中。

在这个利用场景下，Eden发现APP没有向用户显示正确的OAuth认证细节，特别是APP不能访问用户私信。

漏洞时间线：

• 2018-11-06 通过HackerOne提交漏洞

• 2018-11-06 提供漏洞说明和POC

• 2018-11-15 由于美国假期而推迟到为11月30日。

• 2018-11-16 赏金2940美元。填写W2表格表示我不是美国纳税人。

• 2018-11-17 喝适量的苹果酒。

• 2018-11-21 2287.05欧元存入我的英国银行账户。也可以通过PayPal接收。

• 2018-12-06 Twitter解决了这个漏洞，并公布了奖金。他们通知我可以公开。

• 2018-12-14 发表了这份报告。

原文链接：https://securityaffairs.co/wordpress/78933/social-networks/twitter-bug-dm-exposure.html