باحث أمني يكتشف ثغرة في تويتر

الثلاثاء 2013/12/17
خدمة الصور Twitpic لا تطلب صلاحية الوصول إلى رسائلك الخاصة

سان فرانسيسكو - ظهرت مشكلة أمنية في موقع التواصل الإجتماعي تويتر، حسب ما ذكر موقع "نيكست ويب"، حيث تمكن أحد المبرمجين من إكتشاف ثغرة تسمح بإرسال الرسائل دون الحصول على إذن أو تصريح بذلك .

واكتشف باحث أمني يدعى إيجور هوماكوف وجود ثغرة أمنية في موقع التدوين المصغر تويتر تسمح للتطبيقات بإرسال رسائل خاصة (Direct Messages) دون الحاجة إلى إذن من المستخدم.

وأرجع هوماكوف الثغرة إلى ثلاثة أسباب، الأول هو أنه يفترض بالتطبيقات أن تملك أذن قراءة وكتابة لإمكانية الوصول إلى الرسائل الخاصة، وبذلك يمكن تجاوز الحماية. أما الثاني، من السهل، بحسب هوماكوف، استخدام الرسائل الخاصة لجعلها رسائل مزعجة "سبام"، وأخيرًا، لا تقوم الرسائل الخاصة بإظهار ما إذا تم إرسالها بواسطة تطبيق رسمي لتويتر أو آخر خارجي.

لكن اكتشاف هذه الثغرة الأمنية لا يعنى أنه من الممكن أن يرسل المستخدمين رسائل لأى شخص لا تتابعه ولا يتابعك، لكن يمكن لتلك التطبيقات التي تسمح بتبادل الرسائل دون إذن مسبق بتبادل الرسائل عبر تويتر.

وعلى سبيل المثال خدمة الصور Twitpic لا تطلب صلاحية الوصول إلى رسائلك الخاصة عندما تربطها وتوثقها مع حسابك. لكن ومع هذا يمكنك عبرها إرسال رسائل خاصة عن طريق وضع حرف " d" ثم كتابة اسم المستخدم المراد الإرسال إليه وبعدها كتابة الرسالة.

لكن أن هذه الطريقة لا تصلح مع كل التطبيقات، حيث يقوم بعضها بمنعها مثل تطبيق جدولة التغريدات " Buffer".

ويشرح هوماكوف عن الثغرة المكتشفة قائلاً أن التطبيقات يفترض بها أن تملك صلاحية قراءة وكتابة الرسائل الخاصة، لكن مع هذه الثغرة يمكن تجاوز هذه الصلاحية.

ويمكن إستخدام الثغرة لإرسال الرسائل الدعائية المزعجة "سبام"، ولا تظهر الرسائل الخاصة التطبيق المستخدم بإرسالها بالتالي يمكن إستخدامها في عمليات التصيد والخداع وسرقة الحسابات.

من جهة أخرى، أظهر تقرير نشرته صحيفة "وول ستريت جورنال" السبت، قيام تويتر باختبار ميزة جديدة، تسمح لمُستخدم تطبيقها بتلقي تغريدات حول الأحداث المُهمة التي تجري بالقرب من مكان تواجده حتى في حال عدم مُتابعته لهم.

وعادة ما يقوم فريق الأمن الإلكتروني التابع لتويتر الذي لم تعلق إلى الآن حول الثغرة المكتشفة، بترقيع الثغرات المبلغة إليهم في وقت ﻻ يزيد عن عشرة أيام.

يذكر أن شركة تويتر قامت سابقا بكتابة اسم إبراهيم حجازي الخبير المصري في الأمن الإلكتروني على ما يسمى بحائط الشرف للباحثين الأمنيين لديها. وقد تم تكريمه في شهر إبريل الماضي بواسطة شركة "ياهو" ( Yahoo)، بعد أن قام بالإبلاغ عن ثغرة عالية الخطورة بموقعها.

19