É muito comum que os usuários do Twitter utilizem aplicações de terceiros (não pertencentes ao Twitter) para dispor de novas funcionalidade sobre a famosa plataforma de microblogging. Entretanto, há certos aspectos relacionados a segurança e privacidade dos usuários que devemos ter em consideração sobre estas aplicações.

É conhecido que o Twitter possuí mais de 200 milhões de usuários ao redor do Mundo. Devido a isto é natural a existência de diversos aplicativos que permitem intensificar a experiência dos usuários sobre esta plataforma.

O investigador Cesar Cerrudo escreveu no blog de IOActive Labs sobre uma experiência pessoal com um aplicativo de terceiros para Twitter que está disponível para download. Em primeira instancia, quando começou-se a utilizar o aplicativo mencionado, o mesmo oferecia a possibilidade de iniciar a sessão através da plataforma. Desta maneira, lhe foi informado que a aplicação deveria ter permissões para ler  os tweets da linha do tempo, conhecer a seus seguidores e seguir a outros usuários, atualizar seu perfil e escrever novos tweets. Contudo fica claro que especificamente a aplicação não tinha permissão de acesso as mensagens privadas nem à senha.

Logo a isto, continuou-se  com a utilização do aplicativo, experimentando iniciar e encerrar as sessões repetidas vezes. A segunda ou terceira tentativa, descobriu-se que a própria aplicação tinha acesso as mensagens privadas apesar do Twitter mencionar que não fora dada tais permissões. Na sequência das análises, descobriu-se que isto se tratava de uma vulnerabilidade do Twitter. Além disso, é importante lembrar que previamente já havia existido outros incidentes sobre a plataforma, tais como o vazamento acidental massivo de senhas do Twitter por uma possível falha de segurança.

Foi notificada a equipe de segurança do Twitter sobre a vulnerabilidade e a mesma foi solucionada em um curto período de tempo. Contudo, não houve aviso aos usuários sobre este problema. Isto pode afetar a outros usuários, já que as vulnerabilidades foram solucionadas, para que as mudanças tenham efeito é necessário revogar as permissões da aplicação.

Como saber quais aplicações tem acesso a conta de Twitter do usuário?

É importante ter em conta esta experiência e considerar que certas informações pessoais dos usuários desta plataforma podem estar expostas a aplicações de terceiros. Desta maneira, é recomendável entrar em https://twitter.com/settings/applications onde é possível visualizar todas as aplicações que tem acesso a conta do Twitter do usuário. Na continuação abaixo, pode-se observar uma imagem que demonstrao que exposto anteriormente:

Para cada aplicação, existem diferentes permissões. Algumas permitem ler e escrever tweets. Outras também admitem ler, escrever e ainda enviar mensagens diretas para o que tem acesso às mensagens privadas dos usuários.

É recomendável que os usuários verifiquem as aplicações autorizadas em sua conta no Twitter assim como também as permissões que cada uma delas possuí. No caso encontrar alguma aplicação suspeita ou que não havia sido autorizada pelo usuário, recomenda-se encerrar a autorização a partir do botão "Revogar acesso".

Fernando Catoira
Analista de Segurança