Русский разработчик нашёл уязвимость в личных сообщениях в Twitter

Специалист по информационной безопасности компании Sakurity Егор Хомаков обнаружил возможность рассылать спам в личных сообщениях Twitter при помощи сторонних приложений. Об этом сообщает The Next Web.

Сторонние приложения, работающие с аккаунтом пользователя Twitter, но не имеющие разрешения на отправку личных сообщений, всё равно могут их посылать. Для этого используется так называемая SMS-команда: сокращение [d username], написав которое в тексте обычного твита можно отправить его личным сообщением.

Как объясняет Хомаков, при публикации фотографии с сервиса Twitpic в Twitter он прописал в тексте сообщения команду для отправки личного сообщения. Несмотря на то, что приложение Twitpic не запрашивает разрешения на отправку личных сообщений, оно всё равно может делать это при помощи SMS-команды.

Хомаков перечисляет три причины, по которым он считает этот способ отправки личных сообщений багом. Во-первых, приложение должно получать разрешение на чтение и отправку сообщений (в случае с Twitpic этого не произошло). Во-вторых, в DM не отображается клиент, с которого отправлено сообщение, что открывает возможности для фишеров, отправляющих твиты от чужого имени.

В конце концов, спам через DM менее заметен для самого пользователя: пока ему не сообщат читатели, он может и не заходить в личные сообщения и не узнать, что разослал спам. Предполагается, что его рассылкой может заняться недобросовестное стороннее приложение, получившее стандартное разрешение от пользователя Twitter.

В самом сервисе микроблогов не находят в этом ничего плохого. Другой специалист по безопасности рассказал Хомакову, что несколько раз сообщал в Twitter об этой уязвимости ещё год назад, однако в компании заверили, что всё так и должно работать.

@homakov I know. I told them. They said it is a Twitter feature and should be left as is

— DaKnOb (@DaKnObCS) December 14, 2013

TJournal протестировал уязвимость: при публикации фотографии в Twitter, например, из Twitpic или Instagram, действительно удаётся отправить личное сообщение, как и при использовании кнопки «Share on Twitter» на сторонних сайтах.