The Internet of Things by James Whittaker of Microsoft
Brugere, der logger ind på tredjepart Web- eller mobilapplikationer, der bruger deres Twitter-konti, kunne have givet disse applikationer adgang til deres Twitter private "direkte" meddelelser uden at vide det, ifølge Cesar Cerrudo, chefstekniker for sikkerhedskonsulentfirmaet IOActive.
Problemet er resultatet af en fejl i kvidens API (applikationsprogrammeringsgrænseflade), der førte til, at brugerne ikke blev korrekt informeret om, hvilke tilladelser en ansøgning vil have på deres accou nts engang givet adgang. Cerrudo beskrev problemet og forklarede, hvordan han opdagede det i et blogindlæg, der blev offentliggjort tirsdag.
Applikationer, der giver brugerne mulighed for at logge ind med deres Twitter-konti, skal registreres på Twitter på //dev.twitter.com/apps. Under registreringen skal deres udviklere oplyse, hvilket niveau adgangen applikationerne har på folks konti: "læs kun", "læs og skriv" eller "læs, skriv og få adgang til direkte meddelelser."
[Yderligere læsning: Hvordan for at fjerne malware fra din Windows-pc]Når brugere forsøger at logge ind på en sådan applikation for første gang med deres Twitter-konti, bliver de omdirigeret til en godkendelsesside på Twitters websted, der viser de tilladelser, der er anmodet om af den pågældende applikation.
Cerrudo sagde, at han opdagede problemet, mens han testede en ansøgning udviklet af en ven, der havde "læs, skriv og få adgang til direkte beskeder" tilladelse erklæret med Twitter.
Da han først loggede ind på ansøgningen med sin Twitter konto blev han omdirigeret til en autorisationsside, der meddelte ham, at ansøgningen kunne læse tweets fra sin tidslinje, se hvilke brugere han følger, følg nye brugere på hans vegne, opdatere sin profil inf ormation og post tweets på hans vegne, sagde han. Siden bemærkede klart, at applikationen ikke ville kunne få adgang til direkte beskeder eller kontoens adgangskode.
"Efter at have vist den viste webside stolede jeg på, at Twitter ikke ville give applikationen adgang til min adgangskode og direkte beskeder," han skrev på bloggen. "Jeg følte at min konto var sikker, så jeg loggede ind og spillede med ansøgningen."
Forskeren bemærkede, at applikationen havde funktionalitet til at få adgang til og vise direkte meddelelser, men funktionen syntes ikke at fungere. Dette var fornuftigt, fordi han ikke var blevet bedt om at give den tilladelse.
Men efter at have logget ind og ud af applikationen og Twitter et par gange, begyndte hans direkte meddelelser at blive vist i applikationen. Når han kontrollerede listen over applikationer, der var autoriseret til at interagere med sin Twitter-konto (Settings> Apps), bemærkede han, at programmet faktisk havde læsning, skrivning og adgang til tilladelser til direkte beskeder.
"Jeg indså, at dette var en stor sikkerhed hul, "Cerrudo sagde.
Forskeren bekræftede tirsdag, at han med succes gentog adfærd flere gange ved at tilbagekalde adgang til appen og gennemgå autorisationsprocessen igen uden at blive advaret om, at appen kunne læse sine private beskeder. Problemet blev rapporteret til Twitter den 16. januar og blev adresseret på mindre end 24 timer, sagde han.
"De sagde, at problemet opstod på grund af komplekse kode og forkerte antagelser og valideringer," sagde Cerrudo i blogindlægget.
Twitter's løsning ser imidlertid ikke ud til at gælde med tilbagevirkende kraft. Efter at Twitter rettede problemet, testede appen Cerrudo, der allerede havde adgang til sin konto, fortsat at vise direkte meddelelser, selvom han aldrig fik tilladelse fra ham til at gøre det, sagde han.
Twitter-brugere bør kontrollere, om nogen af de apps, de har fået tilladelse til tidligere, også har fået adgang til deres direkte beskeder uden deres viden, sagde Cerrudo. Dette kan gøres ved at gennemgå deres tilladelser på Twitter-siden Indstillinger> Apps.
Cerrudo besluttede at gøre dette problem offentligt, fordi det kan have alvorlige konsekvenser, og fordi Twitter ikke udstedte en offentlig rådgivning eller meddelelse om det. Virksomheden bør opretholde en dedikeret side, hvor den kan informere brugerne om sikkerhedsproblemer, sagde han.
Twitter reagerede ikke straks på en anmodning om kommentarer.
IBM er i forhandlinger om at købe Sun, ifølge The Wall Street Journal, der fører analytikere og industriobservatører til at afveje fordele og ulemper. Steve Ballmer gav det en tommelfinger, fordi alt, hvad der distraherer IBM fra "business" delen af sit navn, er fint af ham. Taler om Ballmer, IE8 kom ud i denne uge. Apple gav også verden et kig - se på den kommende iPhone 3.0-software.
Rapport: IBM er i forhandlinger om at købe Sun Microsystems, Ballmer: IBM-Sun-aftalen kan hjælpe Microsoft, og hvis IBM og Sun fusionere, pas på Oracle og SAP: IBM ønsker at købe Sun Microsystems, ifølge The Wall Street Journal, og de to er i forhandlinger rettet mod det mål. Microsoft CEO Steve Ballmer kan også godt lide ideen om at sige, at hans firma ville have en konkurrencemæssig fordel, mens IBM var optaget af, hvordan man indarbejder Sun i en fusioneret enhed. En sådan aftale kan også ænd
Jeg ser frem til Microsofts browserbaserede udgave af Office. Mens virksomheden ikke fører udviklingen til skybaserede apps, er det helt sikkert midt i bevægelsen. Microsofts suite vil blive frigivet næste år, men du kan spare penge ved at få adgang til online office-stil apps lige nu. In-browser produktivitets suiter er typisk gratis. Plus, jeg kan godt lide dem til lette systemer, f.eks. Netbooks, hvor Microsofts skrivebordssuite føles for opustet til selv at skrive.
Google Docs tilbyder gratis browserbaserede produktivitetsprogrammer med grundlæggende funktioner, der matcher Office-apps. Mens jeg ofte bruger den service, er jeg især interesseret i Zoho-pakken. Dets apps omfatter en renere grænseflade og et par funktioner ud over Googles muligheder.
Virksomheder har gigabyte på gigabyte af følsomme og fortrolige data arkiveret på servere, lagringsarrayer eller backupmedier. Disse virksomheder er afhængige af fagfolk i informationssikkerhed for at beskytte disse data og forhindre uautoriseret adgang. Spørgsmålet er imidlertid "hvem beskytter de følsomme og fortrolige data fra informationssikkerhedsprofessionelle?"
Artwork: Chip TaylorCyber-Ark Software har samlet sin fjerde årlige "Trust, Security and Passwords" -undersøgelse og har afdækket foruroligende statistikker som virksomheder kan finde om. Undersøgelsen - udført med 400 IT-administratorer og informationssikkerhedspersonale hos Infosecurity Europe 2010 og RSA USA 2010 - fandt, at de, der har fået til opgave at beskytte dataene, kan være en af de større trusler mod det.