Zuhause » Nachrichten » Aufgrund Verwundbarkeit in Twitter API, Tausende von iOS-Apps sind unter Beschuss

Aufgrund Verwundbarkeit in Twitter API, Tausende von iOS-Apps sind unter Beschuss

Die veralteten API, die viele iOS-Anwendungen verwenden, noch für die Autorisierung via Twitter, eine Schwachstelle enthält, die es dem Benutzer ermöglichen könnten eine OAuth-Zugriffstoken von der „Mittelposition“ Position zu bringen und verschiedene Aktionen auf dem sozialen Netzwerk im Namen des Opfers ausführen.

EINaut Experten aus der deutschen Firma Fraunhofer SIT, die Verwundbarkeit CVE-2019-16263 auf die Twitter-Kit-Bibliothek verknüpft, welche Twitter Entwickler verlassen vor etwa einem Jahr.

Dennoch, Eine Analyse 2,000 beliebte iOS-Programme in Deutschland haben gezeigt, dass das Problem Code noch vorhanden ist in 45 Anwendungen, die von Millionen von Menschen in diesem Land installiert. Wenn wir das Problem auf globaler Ebene betrachten, dann wird die Liste von Software-Produkten die veraltete Twitter Kit-Framework, nach Ansicht der Forscher, kann auf Zehntausende von Artikeln erweitern.

lesen Sie auch: Vulnerability in WhatsApp ermöglicht den Zugriff auf das Gerät ein GIF-Bild unter Verwendung von

Laut Twitter, das Twitter Kit ist ein Open-Source-Entwicklungs-Kit (SDK) dass ermöglicht mobile Anwendungen Tweets anzuzeigen, ermächtigen Nutzer sozialer Netzwerke, und die Arbeit mit dem Twitter-API. Die veraltete Bibliothek wurde im Oktober eingestellt 2018; zu dieser Zeit, Anwendungsentwickler wurden angewiesen, auf andere SDKs wechseln. jedoch, der problematische Code, gemäß Jens Heider Fraunhofer SIT, im GitHub-Repository blieb, ohne Hinweis auf die Möglichkeit der Verwendung in Cyber-Attacken.

„Die Twitter-Bibliothek auf GitHub enthält noch gefährlichen Code, das beunruhigt uns, da die Anwendungen es richtig funktionieren mit, und die Entwickler sind nicht daran interessiert, sie zu aktualisieren, Übergang zu einer sichereren Twitter-Bibliothek“, - der Experte gesagt.

In seinem Kommentar, Heider nicht Namen der betroffenen Anwendungen, nur darauf hingewiesen, dass die Liste Programme für das Lesen von Nachrichten enthält, sowie viele andere Anwendungen und Dienste, die eine Autorisierung via Twitter erlauben.

„Wenn der Autor des Angriffs verwaltet ein OAuth-Token zu erhalten (zwitschern), er kann es verwenden, Tweets in das Zielkonto des Feeds zu veröffentlichen, sehen die Korrespondenz in PM, kopieren andere Beiträge der Nutzer auf die Seite des Opfers, “ – erklärt ein Experte.

Laut dem Fraunhofer SIT Blogeintrag, das Problem mit TwitterKit Mitteilungen 3.4.2 und unten für IOS wird durch die unzureichende Authentifizierung des TLS-Zertifikat verursacht api.twitter.com.

"Sie [die Entwickler] die Sicherheit erhöhen wollte den öffentlichen Schlüssel der vertrauenswürdigen Stamm Bescheinigungserteilende Zentren durch die Sicherung (Zertifizierungsstellen, CAs) wie VeriSign, DigiCert und GeoTrust. Für diesen Zweck, sie erstellt ein Array von Daten durch Schreiben von Hashes 21 Öffentliche Schlüssel von verschiedenen CAs in it“, – Die Autoren der Studie schreiben.

Mit jeder neuen Verbindung, Twitter Kit überprüft die empfangenen Zertifikatskette für das Vorhandensein einer der öffentlichen Schlüssel aus seiner Liste. jedoch, Entwickler einen Fehler gemacht in Umsetzung dieses Ansatzes für iOS: sie nicht in dem Endentitätszertifikat Zertifikat angegeben für die Überprüfung des Domainnamen liefern (Endentitätszertifikat Zertifikat, auch Blatt Zertifikat). Deswegen, die betroffene Anwendung wird jede Kette von gültigen Zertifikaten akzeptieren, wenn einer des öffentlichen Schlüssels entspricht die angegebene Liste.

„Ein Domain-Inhaber, die ein gültiges Zertifikat von einer dieser Zertifizierungsstellen ausgestellt hat, wird in der Lage, es zu benutzen MitM Angriffe auf Anwendungen zu führen, die mit api.twitter.com über das Twitter Kit interagieren für iOS“, - die Forscher erklären.

Experten auf Twitter über ihren Fund berichtete im Mai dieses Jahres. Laut Jens Heider, Entwickler, räumte ein, dass ein Problem gibt es, aber nicht loslassen einen Patch für die von der Unterstützung entfernt Bibliothek. Stattdessen, sie ersetzt den Twitter-API-Code mit einer aktualisierten Version.

Über Trojan Mörder

Tragen Sie Trojan Killer-Portable auf Ihrem Memory-Stick. Achten Sie darauf, dass Sie in der Lage sind, Ihr PC keine Cyber-Bedrohungen widerstehen zu helfen, wo immer Sie sind.

überprüfen Sie auch

NextCry greift NextCloud Speicher

NextCry Ransomware-Attacken NextCloud Cloud-Speicher

NextCloud Benutzer konfrontiert ein ernstes Problem. New NextCry ransomware attacks NextCloud cloud storage and destroys

Schwachstellen in Qualcomm endanger Android-Geräte

Qualcomm-Chip Schwachstellen gefährden Millionen von Android-Geräten

Check Point Experten, dass die Schwachstellen in der Qualcomm gefunden Sichere Execution Environment gefährden Millionen …

Hinterlasse eine Antwort