Минулого тижня компанія Twitter повідомила розробникам, що виявила та виправила вразливість, яка могла призвести до розкриття інформації розробника, включаючи ключі API. Про це повідомили на SecurityWeek.
Проблема, яку було виправлено, полягала в тому, що додатки розробників Twitter зберігалися в кеш-пам’яті браузера, коли розробники програм відвідували веб-сайт developer.twitter.com. Цей портал, призначений для надання розробникам, що використовують платформу Twitter та API, доступу до документації, обговорення спільноти та іншої інформації, а також пропонує широку функціональність управління програмами та API.
У електронному листі, надісланому розробникам, Twitter пояснив, що ця проблема призводила до того, що ключі та маркери програм так само зберігалися в кеші браузера, що потенційно могло призвести до їх крадіжки Зловмисники могли маніпулювати приватними ключами та маркерами для взаємодії з Twitter від імені розробника, тоді як маркери доступу дозволяли їм входити в обліковий запис розробника, навіть не знаючи облікових даних.
“До виправлення, якщо Ви використовували загальнодоступний або спільний комп’ютер для перегляду ключів і токенів програми розробника на developer.twitter.com, вони могли тимчасово зберігатися в кеші браузера на цьому комп’ютері. Якщо хтось, хто використовував один і той же комп’ютер після Вас у той тимчасовий проміжок часу, знав, як отримати доступ до кешу браузера, і знав, на що слід звертати увагу, можливо, він міг отримати доступ до ключів і токенів, які Ви переглядали, -” сказали представники Twitter розробникам.
На думку компанії, проблема могла вплинути на споживчі API-ключі додатків, а також маркери доступу користувачів та деталі власних облікових записів розробників у Twitter. Це не торкнеться тих, хто не використовував спільний комп’ютер для доступу до порталу розробників. Платформа соціальних медіа стверджує, що у неї немає доказів того, що ключі та маркери додатків розробника були скомпрометовані, але вона вирішила повідомити про проблему зацікавленим сторонам, щоб вони могли вжити необхідних заходів для забезпечення захисту своїх додатків та облікових записів.
“Ми змінили інструкції щодо кешування, які developer.twitter.com надсилає у ваш веб-переглядач, щоб він не зберігав інформацію про ваші програми або обліковий запис, щоб це більше не траплялося”, – також заявив Twitter.
Постраждалим розробникам рекомендується обнулити ключі та маркери програм, щоб уникнути подальших витоків даних. Згадаємо, що у компанії вже були схожі проблеми з захистом даних – на початку серпня Twitter виявив, що проблема з додатком Android могла призвести до того, що приватні дані потрапляли під дію шкідливих програм. У квітні компанія заявила, що спосіб, яким Firefox зберігав кешовані дані, міг призвести до викриття персональних даних користувачів Twitter.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
Шахрайство, оманливий дизайн, або як торгові сайти змушують Вас витрачати більше?
Найпоширеніші схеми кіберзлочинців та способи захисту від них. Поради
Як користуватися спеціальними піктограмами програм на Вашому iPhone та iPad? – ІНСТРУКЦІЯ
Як перемістити програми з бібліотеки додатків на головний екран на iPhone?– ІНСТРУКЦІЯ
Чим Вам загрожує підключення невідомих USB? Поради із захисту
Як зробити Chrome веб-браузером за замовчуванням на iPhone та iPad? – ІНСТРУКЦІЯ
Кібератаки та шкідливі програми – одна з найбільших загроз в Інтернеті. Дізнайтеся з підбірки статей, як виникло шкідливе програмне забезпечення та які є його види, що таке комп’ютерний вірус, про усі види шкідливого ПЗ тощо.
До речі, дослідники розкрили подробиці про критичну уразливість в додатку Instagram для Android, експлуатація якої дозволяла віддаленим зловмисникам перехопити контроль над цільовим пристроєм шляхом відправки спеціально створеного зображення.
Цікаво знати, що кіберполіція затримала злочинну групу, яка за допомогою скімінгових пристроїв виготовляла дублікати банківських карток. Далі з цих карток знімали готівку. За це зловмисникам загрожує до 12 років ув’язнення.
Також після додавання до свого функціоналу аудіо-твітів для iOS у червні, Twitter зараз експериментує з ідеєю дозволити людям записувати та надсилати голосові повідомлення за допомогою прямих повідомлень.
Важливо знати, що хакерам вдалося обійти захист iOS 14 на пристроях, що базуються на процесорі Apple A9.
Уразливість BLURtooth можуть використовувати хакери для перезапису ключів аутентифікації Bluetooth. За допомогою уразливості BLURtooth зловмисник може маніпулювати компонентом CTKD для перезапису ключів аутентифікації Bluetooth і таким чином отримати доступ до підтримуючих Bluetooth сервісів і додатків на тому ж пристрої.
