Egor Homakov นักวิจัยความปลอดภัยค้นพบช่องโหว่ใน Twitter ที่อนุญาตให้แอพสามารถส่งข้อความโดยตรงหรือท่เรียกว่ า DM (direct message) ถึงผู้อื่นได้ โดยไม่ต้องขออนุญาตจากผู้ใช้
เว็บไซต์ The Next Web ได้ทดสอบตามคำกล่าวอ้างของ Homakov โดยใช้แอพ Twitpic ซึ่งเป็นแอพที่ไม่ได้ขอใช้สิทธิการเข้าถึง DM ของผู้ใช้ในระหว่างการเชื่อมต่อกับบัญชี Twitter ทว่าโดยการใช้คำสั่ง "d twitter_username message" ทำให้พวกเขาสามารถส่ง DM ถึงผู้ใช้อื่นด้วย Twitpic ได้
จากสภาพการณ์ข้างต้น ผู้ใช้จะไม่ทราบเลยว่ามีการส่ง DM ออกไปในนามของตนเอง จนกว่าจะมีติดต่อกับจากผู้รับ DM หรือมีการเข้าไปตรวจสอบ DM ที่ถูกส่งออกไปโดยผู้ใช้เอง (ซึ่งผู้ใช้บางรายอาจไม่ได้ตรวจสอบเลยหากไม่มีการแจ้ งเตือน) ทำให้นี่อาจกลายเป็นช่องทางของสแปม หรือการหลอกลวงเอาข้อมูลต่างๆ
นักวิจัยด้านความปลอดภัยอีกรายที่ใช้ชื่อว่า DaKnOb อ้างว่าเขาได้เจอปัญหานี้ตั้งแต่ปีก่อนและได้แจ้ง Twitter ไปแล้ว แต่ทาง Twitter กลับตอบเขาว่ามันเป็นฟีเจอร์ที่ควรจะทำงานเช่นนั้นอย ู่แล้ว
ที่มา - The Next Web
@homakov I know. I told them. They said it is a Twitter feature and should be left as is
— DaKnOb (@DaKnObCS) December 14, 2013
Twitter, Exploit, Security




อ่านต่อ...