Tags:
Node Thumbnail

Egor Homakov นักวิจัยความปลอดภัยค้นพบช่องโหว่ใน Twitter ที่อนุญาตให้แอพสามารถส่งข้อความโดยตรงหรือที่เรียกว่า DM (direct message) ถึงผู้อื่นได้ โดยไม่ต้องขออนุญาตจากผู้ใช้

เว็บไซต์ The Next Web ได้ทดสอบตามคำกล่าวอ้างของ Homakov โดยใช้แอพ Twitpic ซึ่งเป็นแอพที่ไม่ได้ขอใช้สิทธิการเข้าถึง DM ของผู้ใช้ในระหว่างการเชื่อมต่อกับบัญชี Twitter ทว่าโดยการใช้คำสั่ง "d twitter_username message" ทำให้พวกเขาสามารถส่ง DM ถึงผู้ใช้อื่นด้วย Twitpic ได้

จากสภาพการณ์ข้างต้น ผู้ใช้จะไม่ทราบเลยว่ามีการส่ง DM ออกไปในนามของตนเอง จนกว่าจะมีติดต่อกลับจากผู้รับ DM หรือมีการเข้าไปตรวจสอบ DM ที่ถูกส่งออกไปโดยผู้ใช้เอง (ซึ่งผู้ใช้บางรายอาจไม่ได้ตรวจสอบเลยหากไม่มีการแจ้งเตือน) ทำให้นี่อาจกลายเป็นช่องทางของสแปม หรือการหลอกลวงเอาข้อมูลต่างๆ

นักวิจัยด้านความปลอดภัยอีกรายที่ใช้ชื่อว่า DaKnOb อ้างว่าเขาได้เจอปัญหานี้ตั้งแต่ปีก่อนและได้แจ้ง Twitter ไปแล้ว แต่ทาง Twitter กลับตอบเขาว่ามันเป็นฟีเจอร์ที่ควรจะทำงานเช่นนั้นอยู่แล้ว

ที่มา - The Next Web

Get latest news from Blognone

Comments

By: panurat2000
ContributorSymbianUbuntuIn Love
on 16 December 2013 - 07:28 #665205
panurat2000's picture

ช่องโหว่ใน Twitter ที่อนุญาตให้แอพสามารถส่งข้อความโดยตรงหรือท่เรียกว่า DM

หรือท่เรียกว่า => หรือที่เรียกว่า

จะไม่ทราบเลยว่ามีการส่ง DM ออกไปในนามของตนเอง จนกว่าจะมีติดต่อกับจากผู้รับ DM

จนกว่าจะมีติดต่อกับจากผู้รับ DM ?

By: nuttdam
ContributoriPhoneWindowsIn Love
on 16 December 2013 - 08:45 #665208

ย่อหน้าที่ 3 : จนกว่าจะมีติดต่อกับจากผู้รับ DM > จนกว่าจะมีการติดต่อกลับจากผู้รับ DM
หรือเปล่าครับ?

By: SpeedEX
AndroidWindowsIn Love
on 16 December 2013 - 12:33 #665232

it's not a bug, it's a feature !!!

By: mementototem
ContributorJusci's WriterAndroidWindows
on 16 December 2013 - 20:22 #665312
mementototem's picture

#ก็ไม่รู้สินะ


Jusci - Google Plus - Twitter