កំហុសដែលប៉ះពាល់ដល់សិទ្ធិអនុញ្ញាតនៅពេលដែលការផ្តល់សិទ្ធិដល់កម្មវិធីជាក់លាក់មួយចំនួនដោយ Twitter ទុកការផ្ញើរសារដោយផ្ទាល់ទៅភាគីទីបីដោយគ្មានអ្នកប្រើធ្លាប់ស្គាល់អំពីវា។ គុណវិបត្តិបង្ហាញមានជាមួយកម្មវិធីដែលទាមទារកូដ PIN។ ជាលទ្ធផលសិទ្ធិអនុញ្ញាតមួយចំនួនដូចជាការផ្ញើរសារដោយផ្ទាល់នៅតែលាក់ដល់អ្នកប្រើ Twitter ។
Terence Eden រកឃើញបញ្ហានេះហើយរាយការណ៍ទៅ Twitter តាមរយៈវេទិកាប្រាក់រង្វាន់របស់ Hacker One ។ ការបង្ហាញនេះធ្វើឱ្យគាត់ទទួលបា្រក់រង្វាន់ចំនួន $ 2,940 ។ Terence Eden ពិពណ៌នាអំពីបញ្ហាដែលកើតចេញពី Twitter API និងអាថ៌កំបាំងដែលអនុញ្ញាតឱ្យអ្នកចូលប្រើ Twitter API ទោះបីជាមិនមានការយល់ព្រមពី Service’s ក៏ដោយ។
Twitter អនុវត្តការដាក់កម្រិតមួយចំនួនដើម្បីការពារការក្លែងបន្លំរបស់កម្មវិធីដែលប្រើប្រាស់ Key ប្តូរទិសដៅទៅកម្មវិធីផ្សេងដែលពួកគេភ្ជាប់។ វិធីសាស្ត្រមួយដែលពួកគេប្រើដើម្បីដាក់កម្រិតគឺ ‘callback URLs’, ដូច្នេះពេលចូលទៅក្នុងគណនីកម្មវិធីដែលអនុញ្ញាតអាចចូលប្រើ URL ដែលកំណត់ជាមុនប៉ុណ្ណោះ។ ក្នុងលក្ខខណ្ឌសាមញ្ញ ៗ អ្នក Developer មិនអាចប្រើ Keys API ជាមួយកម្មវិធីរបស់ពួកគេទេ។
Eden ពន្យល់ថាការការពារនេះមិនទាំងអស់ទេពីព្រោះកម្មវិធីខ្លះមិនប្រើ URL ឬមិន Support callbacks។ លោកនិយាយថាអ្នក Log in ដោយ PIN ពេលដែលអ្នកវាយ PIN ចូលក្នុងកម្មវិធីរបស់អ្នក ហើយកម្មវិធីនេះត្រូវអនុញ្ញាតឲ្យចូលទៅអានមាតិកា Twitter របស់អ្នក។
ក្នុងករណីបែបនេះ Eden កត់សម្គាល់ឃើញថាកម្មវិធីនេះមិនបង្ហាញព័ត៌មានលម្អិតត្រឹមត្រូវរបស់ OAuth ដល់អ្នកប្រើនោះទេ។ “ដោយហេតុផលមួយចំនួន OAuth របស់ Twitter ថាកម្មវិធីទាំងនេះមិនមានលទ្ធភាពចូលទៅកាន់សារផ្ទាល់ទេប៉ុន្តែពួកគេធ្វើ!”។
អ្នកស្រាវជ្រាវបញ្ជូនការរកឃើញរបស់គាត់តាមរយៈ HackerOne នៅថ្ងៃទី 6 ខែវិច្ឆិកាហើយបញ្ហានេះត្រូវទទួលយកនៅថ្ងៃដដែលបន្ទាប់ពីផ្តល់ការបញ្ជាក់និងបង្ហាញពីបញ្ហារំលោភសិទ្ធិឯកជន។ នៅថ្ងៃទី 6 ខែធ្នូ Twitter ដោះស្រាយបញ្ហានេះហើយប្រកាសពីការបង់ប្រាក់បន្ថែមនិងជូនដំណឹងទៅអ្នកស្រាវជ្រាវថាគាត់អាចផ្សព្វផ្សាយព័ត៌មានលម្អិតនៃរបាយការណ៍របស់គាត់៕
ប្រភព៖
https://www.bleepingcomputer.com/news/security/twitter-fixes-bug-that-gives-unauthorized-access-to-direct-messages/
