sindbad001
16/12/2013, 14h56
Twitter souffre d’une vulnérabilité permettant à une autre application qui y est liée d’envoyer des messages privés alors qu’elle n’en n’a pas l’autorisation. Le réseau social considère qu’il s’agit d’une fonction normale et non d’une faille.
http://www.cnetfrance.fr/i/edit/2013/12/39796365/620x465/twitter-faille.jpgEgor Homakov, un chercheur en sécurité informatique a découvert une vulnérabilité concernant l’application Twitter. Elle permettrait à certaines applications d’envoyer des messages privés à partir du compte d’un utilisateur sans lui en demander l’autorisation. Il faut rappeler qu’habituellement, les applications qui se « connectent » à Twitter demandent la permission d’accéder aux contenus du compte. Souvent, elles n’incluent pas le module des messages privés dans leurs requêtes. Toutefois, une fois qu’une application est liée à Twitter, elle n’aurait même pas besoin de cet accord pour y accéder.
Thenextweb qui a pu tester et confirmer (http://thenextweb.com/twitter/2013/12/14/twitter-vulnerability-lets-apps-send-dms-without-user-permission/#!pZUZB) l’existence de cette vulnérabilité, prend l’exemple de Twipic. Lorsque vous lui conférez certaines autorisations, l’application ne demande pas d’accéder à vos messages privés. Malgré tout, en utilisant la commande dtwitter_username message, elle peut envoyer autant de messages privés qu’elle le souhaite aux abonnés du compte Twitter. Si elle est employée par certaines applications, la vulnérabilité pourrait servir à s’assurer leur promotion en envoyant des messages privés à partir du compte de l’utilisateur sans qu’il le sache.
Déjà au courant du problème, Twitter a expliqué qu’il s’agit d’une fonction normale du réseau social et non d’une vulnérabilité.
http://www.cnetfrance.fr/i/edit/2013/12/39796365/620x465/twitter-faille.jpgEgor Homakov, un chercheur en sécurité informatique a découvert une vulnérabilité concernant l’application Twitter. Elle permettrait à certaines applications d’envoyer des messages privés à partir du compte d’un utilisateur sans lui en demander l’autorisation. Il faut rappeler qu’habituellement, les applications qui se « connectent » à Twitter demandent la permission d’accéder aux contenus du compte. Souvent, elles n’incluent pas le module des messages privés dans leurs requêtes. Toutefois, une fois qu’une application est liée à Twitter, elle n’aurait même pas besoin de cet accord pour y accéder.
Thenextweb qui a pu tester et confirmer (http://thenextweb.com/twitter/2013/12/14/twitter-vulnerability-lets-apps-send-dms-without-user-permission/#!pZUZB) l’existence de cette vulnérabilité, prend l’exemple de Twipic. Lorsque vous lui conférez certaines autorisations, l’application ne demande pas d’accéder à vos messages privés. Malgré tout, en utilisant la commande dtwitter_username message, elle peut envoyer autant de messages privés qu’elle le souhaite aux abonnés du compte Twitter. Si elle est employée par certaines applications, la vulnérabilité pourrait servir à s’assurer leur promotion en envoyant des messages privés à partir du compte de l’utilisateur sans qu’il le sache.
Déjà au courant du problème, Twitter a expliqué qu’il s’agit d’une fonction normale du réseau social et non d’une vulnérabilité.