Hjem » Nyheder » På grund af sårbarhed i Twitter API, tusindvis af iOS apps er under angreb

På grund af sårbarhed i Twitter API, tusindvis af iOS apps er under angreb

Den forældede API, som mange iOS applikationer stadig bruge om tilladelse via Twitter, indeholder en sårbarhed, der kan gøre det muligt for brugeren at få et OAuth adgang token fra ”midterposition” position og udføre forskellige handlinger på det sociale netværk på vegne af offeret.

ENccording til eksperter fra det tyske selskab Fraunhofer SIT, sårbarheden CVE-2019-16.263 knyttet til Twitter Kit biblioteket, som Twitter udviklere forladt omkring et år siden.

alligevel, en analyse af 2,000 populære iOS programmer i Tyskland viste, at problemet koden er stadig til stede i 45 programmer installeret af millioner af mennesker i dette land. Hvis vi betragter problemet på globalt plan, derefter listen over software-produkter ved hjælp af den forældede Twitter Kit rammer, ifølge forskerne, kan udvide til titusinder af genstande.

Læs også: Sårbarhed i WhatsApp giver adgang til enheden ved hjælp af en gif-billede

Ifølge Twitter, det Twitter Kit er en open source Development Kit (SDK) der tillader mobile applikationer at vise tweets, autorisere brugere sociale netværk, og arbejde med Twitter API. Den forældede bibliotek blev afbrudt i oktober 2018; på det tidspunkt, applikationsudviklere blev rådet til at skifte til andre SDK'er. Imidlertid, den problematiske kode, ifølge Jens Heider af Fraunhofer SIT, forblev i GitHub repository, uden nogen angivelse af muligheden for dens anvendelse i cyberangreb.

”De kvidre biblioteket på GitHub indeholder stadig farlig kode, dette bekymrer os, fordi de programmer, der bruger det fungerer korrekt, og udviklerne er ikke interesseret i at opdatere dem, flytte til et mere sikkert Twitter bibliotek”, - eksperten fortalte.

I sin kommentar, Heider ikke navn de berørte applikationer, kun bemærkes, at listen omfatter programmer for læse nyheder, samt mange andre applikationer og tjenester, der giver tilladelse via Twitter.

”Hvis forfatteren af ​​angrebet formår at få et OAuth token (Twitter), han kan bruge det til at udgive tweets i målet kontoens foder, se korrespondancen i PM, kopiere andre brugeres indlæg til ofrets side, ” – forklarer ekspert.

Ifølge Fraunhofer SIT blogindlæg, problemet med TwitterKit udgivelser 3.4.2 og nedenfor til iOS er forårsaget af utilstrækkelig autentificering af TLS certifikat api.twitter.com.

"De [udviklerne] ønskede at øge sikkerheden ved at sikre den offentlige nøgle for betroede rod Attestudstedende centre (nøglecentre, CA'er) såsom VeriSign, DigiCert og GeoTrust. Til dette formål, skabte de en bred vifte af data ved at skrive hashes af 21 offentlige nøgler af forskellige CA'er i det”, – forfatterne af undersøgelsen skrive.

Med hver ny tilslutning, Twitter Kit kontrollerer den modtagne certifikatkæde for tilstedeværelsen af ​​en af ​​de offentlige nøgler fra sin liste. Imidlertid, udviklere lavet en fejl i gennemførelsen af ​​denne tilgang til iOS: de giver ikke til verifikation af domænenavnet er angivet i slutenhedscertifikat (slutenhedscertifikat, også blad certifikat). På grund af dette, den sårbare ansøgning vil acceptere nogen kæde af gyldige certifikater, hvis en af ​​de offentlige nøgler matcher den angivne liste.

”Et domæne ejer, der har et gyldigt certifikat udstedt af en af ​​disse CA'er vil være i stand til at bruge den til at foretage MITM angreb mod applikationer, der interagerer med api.twitter.com via Twitter Kit til iOS”, - forskerne forklare.

Eksperter rapporteret på Twitter om deres fund i maj i år. Ifølge Jens Heider, udviklere, indrømmede, at der var et problem, men ikke frigive en patch til biblioteket fjernet fra støtte. I stedet, de erstattet Twitter API kode med en opdateret version.

Om Trojan Killer

Carry Trojan Killer Portable på din memory stick. Vær sikker på, at du er i stand til at hjælpe din pc modstå eventuelle cyber trusler, hvor du går.

Tjek også

RAT Trojan i WebEx invitationer

Kriminelle giver links til RAT trojan i WebEx invitationer

Information security specialist Alex Lanstein discovered an original vector for the distribution of the RAT

Hacking turnering Pwn2Own Tokyo

Deltagerne på hacking turnering Pwn2Own Tokyo 2019 hacket Samsung Galaxy S10, Xiaomi Mi9, Amazon Echo og ikke kun

Den hacking turnering Pwn2Own Tokyo 2019, traditionally held as part of the PacSec conference and

Skriv et svar