محققین: ٹویٹر کی غلطی نے نجی پارٹی کے اطلاقات نجی پیغامات کو غیر مجاز رسائی دی

صارفین جو تیسری پارٹی میں دستخط کئے ہیں. سیکورٹی مشاورت فرم IOActive کے سربراہ ٹیکنالوجی آفیسر Cesar Cerrudo کے مطابق، ان کے ٹویٹر اکاؤنٹس کا استعمال کرتے ہوئے ویب یا موبائل ایپلیکیشن ان ایپلی کیشنز کو اپنے ٹویٹر نجی "براہ راست" پیغامات تک رسائی حاصل کرسکتے تھے.

مسئلہ ٹویٹر کے اے پی پی (ایپلی کیشن پروگرامنگ انٹرفیس) میں ایک غلطی جس نے صارفین کو مناسب طریقے سے مطلع نہیں کیا تھا اس کے بارے میں ان کی اجازت پر کون سی درخواست ہوگی. ایک بار ایک نون رسائی حاصل کی. کاروڈو نے اس مسئلے کا ذکر کیا اور وضاحت کی کہ انہوں نے منگل کو شائع شدہ بلاگ مراسلہ کو کس طرح تلاش کیا.

درخواستیں جو صارفین کو اپنے ٹویٹر اکاؤنٹس کے ساتھ لاگ ان کرنے کی اجازت دیتی ہیں //dev.twitter.com/apps پر ٹوئٹر. رجسٹریشن کے دوران، ان کے ڈویلپرز کو لوگوں کے اکاؤنٹس پر ایپلی کیشنز تک رسائی حاصل کرنے کی سطح کا اعلان کرنا ہوگا: "صرف پڑھنا،" "پڑھنا اور لکھنا" یا "پڑھنے، لکھنے اور براہ راست پیغامات تک رسائی حاصل." [

[مزید پڑھنے: اپنے ونڈوز پی سی سے میلویئر کو دور کرنے کے لئے]

جب صارف اپنے ٹویٹر اکاؤنٹس کو استعمال کرتے ہوئے اپنی پہلی دفعہ لاگ ان کرنے کی کوشش کرتے ہیں تو وہ ٹویٹر کی ویب سائٹ پر تصویری صفحہ پر ری ڈائریکٹ کرتے ہیں جو مخصوص ایپلی کیشنز کی درخواست کی اجازت دیتا ہے.

کرروڈو نے کہا کہ انہوں نے اس مسئلے کو دریافت کیا جبکہ وہ ایک دوست کی طرف سے تیار کردہ ایک درخواست کی جانچ پڑتال کررہا تھا جو ٹویٹر کے ساتھ اعلان کردہ اجازت "براہ راست پیغامات کو پڑھنے، لکھنا اور رسائی حاصل کرنے" کی اجازت دیتا تھا.

جب وہ سب سے پہلے اپنے ٹویٹر کے ساتھ درخواست میں دستخط کرتے تھے اکاؤنٹ، وہ ایک اجازت کے صفحے پر اس کا حوالہ دیا گیا تھا کہ ان کو مطلع کیا گیا تھا کہ ان کی ٹائم لائن سے ٹویٹس کو پڑھنے کے قابل ہو جائے گا، دیکھیں کہ کون کون صارفین استعمال کرتے ہیں، اس کے ذریعہ نئے صارفین کو پیروی کریں، ان کی پروفائل ان کو اپ ڈیٹ کریں. انہوں نے کہا کہ اس کی طرف سے اعزاز اور پوسٹ ٹویٹس. اس صفحے کو واضح طور پر یہ بتاتی ہے کہ درخواست براہ راست براہ راست پیغامات یا اکاؤنٹ کے پاس ورڈ تک رسائی حاصل نہیں کرسکتا.

"ظاہر ویب صفحہ دیکھنے کے بعد، مجھے یقین ہے کہ ٹویٹر نے میرے پاس ورڈ اور براہ راست پیغامات تک رسائی کی درخواست نہیں دی تھی،" بلاگ پر لکھا. "میں نے محسوس کیا کہ میرا اکاؤنٹ محفوظ تھا، لہذا میں نے دستخط کیا اور درخواست کے ساتھ ادا کیا."

محققین نے یہ محسوس کیا کہ درخواست میں براہ راست پیغامات تک رسائی اور ڈسپلے کرنے کے لئے فعالیت کا کام تھا، لیکن یہ خصوصیت کام کرنے کے لئے پیش نہیں ہوا. اس کا احساس ہوا کیونکہ اس کو اجازت کی اجازت نہیں دی گئی تھی.

تاہم، ایپلیکیشن اور ٹویٹر کے اندر اندر اور باہر سائن ان کرنے کے بعد، اس کے براہ راست پیغامات کو درخواست میں پیش آنے لگے. جب اپنے ٹویٹر اکاؤنٹ (ترتیبات> ایپلی کیشنز) کے ساتھ بات چیت کرنے کے لئے اختیار کردہ ایپلی کیشنز کی فہرست کی جانچ پڑتال کرتے ہوئے انہوں نے محسوس کیا کہ درخواست میں حقیقت میں پڑھنے، لکھنے، اور براہ راست پیغامات کی اجازتوں تک رسائی حاصل ہے.

"مجھے احساس ہوا کہ یہ ایک بہت بڑی سیکورٹی تھی سوراڈو نے کہا.

محققین نے منگل کو اس بات کی تصدیق کی ہے کہ انہوں نے کئی مرتبہ بار بار اس رویے کو اپلی کیشن تک پہنچنے اور اجازت کے عمل کے ذریعے دوبارہ کامیابی سے دوبارہ پیش کرنے کے بغیر دوبارہ خبردار کیا ہے کہ اے پی پی اپنے نجی پیغامات کو پڑھنے کے قابل ہو گی. انہوں نے کہا کہ مسئلہ 16 جنوری کو ٹویٹر کو بتایا گیا تھا اور 24 گھنٹے سے بھی کم وقت میں خطاب کیا گیا تھا.

"انہوں نے کہا کہ یہ مسئلہ پیچیدہ کوڈ اور غلط تصورات اور جائزوں کی وجہ سے ہوا ہے."

تاہم، ٹویٹر کی فکس کو ریٹرویکٹو طور پر لاگو نہیں ہونے لگے. انہوں نے کہا کہ ٹویٹر نے مسئلہ کو حل کرنے کے بعد، اے پی پی کووڈو نے جانچ کیا تھا کہ پہلے سے ہی ان کے اکاؤنٹ تک رسائی حاصل کرنے کے باوجود وہ باقاعدہ پیغامات ظاہر کرنے کے باوجود جاری رکھنے کے باوجود جاری رکھنے کے باوجود جاری رہے.Cerrudo نے کہا، ٹویٹر کے صارفین کو یہ معلوم ہونا چاہئے کہ ان میں سے کسی بھی ایپس میں جو ان کے ماضی میں مجاز ہیں وہ اپنے علم کے بغیر اپنے براہ راست پیغامات تک رسائی حاصل کرتے ہیں. یہ ٹویٹر کی ترتیبات> اطلاقات کے صفحے پر ان کی اجازتوں کا جائزہ لینے کے ذریعہ کیا جا سکتا ہے.

کرروڈو نے اس مسئلے کو عوامی بنانے کا فیصلہ کیا کیونکہ یہ سنگین اثرات ہوسکتا ہے اور اس وجہ سے ٹویٹر اس کے بارے میں عام مشورتی یا اعلان نہیں کرتے. انہوں نے کہا کہ کمپنی کو ایک وقفے صفحے کو برقرار رکھنا چاہیے جہاں وہ صارفین کو سیکورٹی کے مسائل کے بارے میں مطلع کرسکتے ہیں.

ٹویٹر نے فوری طور پر تبصرہ کے درخواست پر جواب نہیں دیا.