Video: thanh Dock trên Macbook, thay đổi kích thước thêm bớt icon trên thanh Dock trên Macbook. (Tháng mười một 2024)
Một nhà nghiên cứu bảo mật đã phát hiện ra một lỗi trong mã của Twitter, điều này có thể dẫn đến một số ứng dụng của bên thứ ba có quyền truy cập vào tin nhắn trực tiếp riêng tư mà không có sự chấp thuận rõ ràng của người dùng.
Nhiều ứng dụng Web cho phép người dùng đăng nhập bằng tài khoản Twitter và Facebook của họ thay vì tạo một tài khoản khác. Nó thuận tiện cho người dùng và nhà phát triển ứng dụng có thể truy cập dữ liệu người dùng được lưu trữ trên trang mạng xã hội. Cesar Cerrudo, một nhà nghiên cứu bảo mật của IOActive, đã tình cờ phát hiện ra một lỗ hổng trong đó các ứng dụng này có thể kết thúc với mức độ truy cập cao hơn mức cần thiết.
Trong một bài đăng trên blog IOActive Labs Research, Cerrudo đã mô tả cách anh ta đang thử nghiệm một ứng dụng Web (vẫn đang được phát triển) cho phép người dùng đăng nhập bằng Twitter hoặc Facebook. Tại trang "Đăng nhập", Cerrudo thấy rằng ứng dụng sẽ có thể xem các tweet công khai của anh ấy, đăng trên tài khoản của anh ấy, xem những người theo dõi anh ấy, theo dõi những người mới và thay đổi hồ sơ. Trang này cũng tuyên bố rõ ràng rằng ứng dụng sẽ không có quyền truy cập vào Tin nhắn trực tiếp hoặc mật khẩu của anh ấy.
"Sau khi xem trang web được hiển thị, tôi tin tưởng rằng Twitter sẽ không cấp cho ứng dụng quyền truy cập vào mật khẩu và tin nhắn trực tiếp của tôi. Tôi cảm thấy tài khoản của mình an toàn, vì vậy tôi đã đăng nhập và chơi với ứng dụng", Cerrudo viết.
Thay đổi cấp phép
Ứng dụng thực sự có khả năng hiển thị Tin nhắn trực tiếp, nhưng Twitter đã chặn ứng dụng thực hiện thành công những hành động đó vì nó chỉ có quyền "đọc, ghi", Cerrudo nói. Nếu ứng dụng muốn hiển thị các tin nhắn riêng tư, ứng dụng sẽ cần yêu cầu mức truy cập cao hơn thông qua trang "Ứng dụng ủy quyền".
Tuy nhiên, sau khi đăng nhập và thoát khỏi ứng dụng và Twitter một vài lần, ứng dụng bắt đầu hiển thị các tin nhắn trực tiếp của mình. Cerrudo đã kiểm tra cài đặt của ứng dụng và thấy nó đột nhiên có quyền "đọc, viết và xem tin nhắn trực tiếp", Cerrudo nói. Ông tuyên bố rằng ông chưa bao giờ thấy trang ứng dụng Authorize.
"Nó đã làm như vậy mà không có sự cho phép và Twitter không hiển thị bất kỳ tin nhắn nào về việc này. Đây là một thủ thuật bỏ qua đơn giản để các ứng dụng của bên thứ ba có được quyền truy cập vào tin nhắn trực tiếp trên Twitter của người dùng", Cerrudo viết.
Cerrudo không thể hiểu tại sao điều này xảy ra và thông báo cho Twitter. Nhóm bảo mật đã phản hồi kịp thời và đóng lại vấn đề, vì vậy các ứng dụng không còn được tùy tiện đạt được các đặc quyền gia tăng. Tuy nhiên, sửa lỗi không có nghĩa là bất kỳ ứng dụng nào được quản lý để vượt qua cài đặt bảo mật của Twitter đều được đặt lại về mức cấp phép ban đầu.
"Sau khi sửa lỗi bảo mật, ứng dụng tôi đã kiểm tra vẫn có quyền truy cập vào tin nhắn trực tiếp cho đến khi tôi thu hồi nó", Cerrudo viết.
Kiểm tra ứng dụng của bạn
Bạn nên định kỳ kiểm tra danh sách các ứng dụng có quyền truy cập tài khoản Twitter và Facebook của bạn để đảm bảo không có bất ngờ bất ngờ nào. Kiểm tra để đảm bảo tất cả các ứng dụng được ủy quyền là các ứng dụng bạn đã thêm và vẫn cần. Bỏ bất cứ thứ gì bạn không sử dụng nữa. Ngoài ra, hãy kiểm tra các mức cho phép để đảm bảo các cài đặt phù hợp.
Trên Twitter, bạn có thể nhấp vào biểu tượng bánh răng bên cạnh hộp tìm kiếm ở đầu màn hình và chọn Cài đặt. Sau khi chọn Ứng dụng (ở phía bên trái màn hình), bạn sẽ thấy tất cả các ứng dụng có quyền truy cập vào tài khoản của bạn và khi được thêm vào. Các mức cho phép được liệt kê ngay bên dưới tên ứng dụng. Nếu bất kỳ ai trong số họ không nên có trong danh sách, hãy nhấp vào nút "Thu hồi quyền truy cập".
Trên Facebook, bạn có thể nhấp vào biểu tượng bánh răng ở góc trên cùng bên phải của màn hình và chọn Cài đặt tài khoản. Sau khi chọn Ứng dụng (ở phía bên trái màn hình), bạn sẽ thấy tất cả các ứng dụng, trò chơi, plugin và trang web có quyền truy cập vào tài khoản của bạn, cùng với các cấp độ cho phép. Bạn có thể nhấp vào Chỉnh sửa để điều chỉnh quyền hoặc "x" để xóa hoàn toàn.
Chỉ mất vài phút, nhưng đáng để đảm bảo rằng các ứng dụng của bên thứ ba không lấy dữ liệu cá nhân của bạn.