Den forældede API, som mange iOS applikationer stadig bruge om tilladelse via Twitter, indeholder en sårbarhed, der kan gøre det muligt for brugeren at få et OAuth adgang token fra ”midterposition” position og udføre forskellige handlinger på det sociale netværk på vegne af offeret.
ENccording til eksperter fra det tyske selskab Fraunhofer SIT, sårbarheden CVE-2019-16.263 knyttet til Twitter Kit biblioteket, som Twitter udviklere forladt omkring et år siden.alligevel, en analyse af 2,000 populære iOS programmer i Tyskland viste, at problemet koden er stadig til stede i 45 programmer installeret af millioner af mennesker i dette land. Hvis vi betragter problemet på globalt plan, derefter listen over software-produkter ved hjælp af den forældede Twitter Kit rammer, ifølge forskerne, kan udvide til titusinder af genstande.
Læs også: Sårbarhed i WhatsApp giver adgang til enheden ved hjælp af en gif-billede
Ifølge Twitter, Det Twitter Kit er en open source Development Kit (SDK) der tillader mobile applikationer at vise tweets, autorisere brugere sociale netværk, og arbejde med Twitter API. Den forældede bibliotek blev afbrudt i oktober 2018; På det tidspunkt, applikationsudviklere blev rådet til at skifte til andre SDK'er. imidlertid, den problematiske kode, Ifølge Jens Heider af Fraunhofer SIT, forblev i GitHub repository, uden nogen angivelse af muligheden for dens anvendelse i cyberangreb.
”De kvidre biblioteket på GitHub indeholder stadig farlig kode, dette bekymrer os, fordi de programmer, der bruger det fungerer korrekt, og udviklerne er ikke interesseret i at opdatere dem, flytte til et mere sikkert Twitter bibliotek”, - eksperten fortalte.
I sin kommentar, Heider ikke navn de berørte applikationer, kun bemærkes, at listen omfatter programmer for læse nyheder, samt mange andre applikationer og tjenester, der giver tilladelse via Twitter.
”Hvis forfatteren af angrebet formår at få et OAuth token (Twitter), han kan bruge det til at udgive tweets i målet kontoens foder, se korrespondancen i PM, kopiere andre brugeres indlæg til ofrets side, ” – forklarer ekspert.
Ifølge Fraunhofer SIT blogindlæg, problemet med TwitterKit udgivelser 3.4.2 og nedenfor til iOS er forårsaget af utilstrækkelig autentificering af TLS certifikat api.twitter.com.
"De [udviklerne] ønskede at øge sikkerheden ved at sikre den offentlige nøgle for betroede rod Attestudstedende centre (nøglecentre, CA'er) såsom VeriSign, DigiCert og GeoTrust. Til dette formål, skabte de en bred vifte af data ved at skrive hashes af 21 offentlige nøgler af forskellige CA'er i det”, – forfatterne af undersøgelsen skrive.
Med hver ny tilslutning, Twitter Kit kontrollerer den modtagne certifikatkæde for tilstedeværelsen af en af de offentlige nøgler fra sin liste. imidlertid, udviklere lavet en fejl i gennemførelsen af denne tilgang til iOS: de giver ikke til verifikation af domænenavnet er angivet i slutenhedscertifikat (slutenhedscertifikat, også blad certifikat). På grund af dette, den sårbare ansøgning vil acceptere nogen kæde af gyldige certifikater, hvis en af de offentlige nøgler matcher den angivne liste.
”Et domæne ejer, der har et gyldigt certifikat udstedt af en af disse CA'er vil være i stand til at bruge den til at foretage MITM angreb mod applikationer, der interagerer med api.twitter.com via Twitter Kit til iOS”, - forskerne forklare.
Eksperter rapporteret på Twitter om deres fund i maj i år. Ifølge Jens Heider, udviklere, indrømmede, at der var et problem, men ikke frigive en patch til biblioteket fjernet fra støtte. I stedet, de erstattet Twitter API kode med en opdateret version.
