Nem teljesen privát Twitter üzenet

2019. január 18. 12:37 - Csizmazia Darab István [Rambo]

Bár megtanulhattuk, hogy mindenben lehet hibát találni, és megszokhattuk, hogy ez sokszor több időbe telik a fejlesztőknek kijavítani, mint azt gondolnánk, vagy szeretnénk, de vannak néha olyan esetek, amelyek súlyosságukkal, hosszasan fennálló támadhatóságukkal kilógnak a sorból, és felkapjuk rá a fejünket, jócskán elgondolkodunk rajtuk. A mostani androidos Twitter hibajavítás is egy ilyen.

Volt egy emlékezetes előadás pár éve, 2014-ben a Hacktivity konferencián, ahol nagyjából az volt a lényeg, hogy időnként a kibervilág minden szereplője odateszi magát azért, hogy méretes pofonokat kapjon. Igaz ez a felhasználók által elkövetett (pl. előző évi SQL Slammer frissítés le nem futtatása, PEBKAC) hibákra, vírusvédelmi cégeknél ha ritkán is, de voltak vitatható lépések (pl. McAfee régi vírusminták önkényes kivétele az adatbázisból).

Illetve a támadók is tudnak néha hajmeresztő ostobaságokat véghez vinni (pl. Bitcoin bányász "kártevő" mobilon), és végül de semmiképpen nem utolsó sorban a fejlesztőknél is áll időnként a zászló az évekig nyitva hagyott sebezhetőségek, régóta lejelentett gyenge-pontok be nem foltozása miatt.

Csak párat említsünk meg ezekből, melléjük biggyesztve azt is meddig kellett várni éppen az adott hibajavításra, rögtön világos lesz miről is beszélünk. Az első makróvírusok feltűnés még 1995-ben történt, mégis a Microsoft az Office makrók automatikus letiltását végrehajtó biztonsági frissítést csak 2000-ben, 6 év késéssel bocsátották ki. Az 1999-es Kak worm által kihasznált automatikus preview sebezhetőséget az Outlook Expressben 2004-ben, ugyancsak 6 év múlva foltozták be a Microsoft az XP SP2 keretében.

A 2001-ben sok fertőzést lehetővé tevő problémát, amelynél kiderült, hogy a Windows XP mindent adminisztrátori joggal futtat, csak a Vista 2007-tel, az UAC megjelenésével orvosoltak, addig jobbára csak a DropMyRights segített szintén 6 éven keresztül.

De a Microsoft részéről mondhatjuk még az ismert fájltípusok rejtése nevű alapértelmezett idióta opciót, amit legelőször a 2001-et Kournikova vírus használt ki, és máig, igen 2019-ben is így van, ez jó 18 esztendő, vagy az Autorun sebezhetőség, amelyre 2007-től kezdődően jelentek meg vírusok, mégis csak 2011-ben jelent meg az a javítófolt, amely végül letiltotta ezek működését.

De szerepelhet a sorban a Java is, amely sokáig csak mellételepített az új verziókat a régi sebezhető változat mellé, vagy az Adobe Reader, amelyik az interaktív formokra hivatkozva alapértelmezetten engedélyezte a JavaScript kódok futtatását, bár 2008 óta ismerünk már fertőző PDF kártevőket.

Szóval ha nem is akarja megdönteni a fenti rekordokat, de ugyancsak hosszú ideig, és nem is akármilyen események közepette állt fent egy olyan Twitter sebezhetőség, amely Android rendszerek alatt a privát tweetekhez is hozzáférést engedett illetéktelenek részére. A Twitter for Android hiba 2014 óta olyan események közepette állt fent, mint két olimpia, egy világbajnokság, de volt itt egy EU-s népszavazás, vagy a Cambridge Analytica Facebook manipulációjáról elhíresült amerikai elnökválasztás is.

Aki ezen idő alatt bármilyen privát üzenetet posztolt, és ezzel próbálta magát megóvni nyilvánosságtól, online zaklatástól, azt nem óvta meg az elvileg védett magánüzenet titka.

Most a Twitter, 2019. január 17-én értesíti a felhasználókat, hogy a "Tweetek védelme" opció állását figyelmen kívül hagyó hiba - 4 és fél év után - immár javítva lett, és ez az anomália csak az Androidos alkalmazást érintette, az iOS és PC platformokon nem okozott problémát.

A közlemény arra is kitér, hogy mindenki újfent vizsgálja felül a biztonsági, adatvédelmi beállításait.

"We’re very sorry this happened and we’re conducting a full review to help prevent this from happening again." Nagyon sajnálják, és ígéretük szerint a jövőben mindent elkövetnek, hogy megakadályozzák a hasonló eseteket. Hát úgy legyen.

Mindenesetre ha valakinek adatvédelmi incidenssel kapcsolatos kérdése, aggálya, észrevétele van feléjük, ehhez egy űrlapot is mellékeltek, amelynek kitöltésével azonnal fel lehet venni a kapcsolatot az üzemeltetőkkel.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr7614570432

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.