La API obsoleta, las aplicaciones que utilizan muchos iOS todavía de autorización a través de Twitter, contiene una vulnerabilidad que podría permitir al usuario obtener un token de acceso OAuth desde la posición “posición media” y realizar diversas acciones en la red social en nombre de la víctima.
UNAe acuerdo con expertos de la compañía alemana Fraunhofer SIT, la vulnerabilidad CVE-2019-16263 vinculado a la biblioteca Twitter Kit, que los desarrolladores de Twitter se abandonaron hace un año.sin embargo, un análisis de 2,000 iOS programas populares en Alemania mostraron que el código de problema todavía está presente en 45 aplicaciones instaladas por millones de personas en este país. Si tenemos en cuenta el problema a escala mundial, a continuación, la lista de productos de software utilizando el marco Kit Twitter obsoleta, según los investigadores, se puede expandir a decenas de miles de artículos.
leer también: Una vulnerabilidad en WhatsApp permite el acceso al dispositivo mediante un gif-foto
De acuerdo con Twitter, los Kit de Twitter es una Kit de desarrollo de código abierto (SDK) que permite a las aplicaciones móviles para mostrar los tweets, autorizar a los usuarios de redes sociales, y trabajar con la API de Twitter. La biblioteca obsoleta se suspendió en octubre 2018; En ese tiempo, Se aconsejó a los desarrolladores de aplicaciones para cambiar a otro SDK. sin embargo, el código problemático, De acuerdo a Jens Heider de Fraunhofer SIT, permanecido en el repositorio GitHub, sin ninguna indicación de la posibilidad de su uso en ataques cibernéticos.
“La biblioteca de Twitter en GitHub todavía contiene códigos peligrosos, esto nos preocupa, porque las aplicaciones que lo utilizan están funcionando correctamente, y los desarrolladores no están dispuestos a actualizarlos, moviéndose a una biblioteca de Twitter más seguro”, - dijo el experto.
En su comentario, Heider no nombró a las aplicaciones afectadas, Sólo señalar que la lista incluye programas para la lectura de noticias, así como muchas otras aplicaciones y servicios que permiten la autorización a través de Twitter.
“Si el autor del ataque se las arregla para obtener un token de OAuth (Gorjeo), puede usarla para publicar tuits en la alimentación de la cuenta de destino, ver la correspondencia de PM, copiar los mensajes de otros usuarios a la página de la víctima, ” – explica un experto.
De acuerdo con el Fraunhofer SIT entrada en el blog, el problema con los lanzamientos TwitterKit 3.4.2 y por debajo de IOS es causada por la inadecuada autenticación del certificado TLS api.twitter.com.
"Ellos [los desarrolladores] querido para aumentar la seguridad, asegurando la clave pública de centros de emisión de certificados raíz de confianza (Las autoridades de certificación, CA) como VeriSign, DigiCert y GeoTrust. Para este propósito, crearon una serie de datos dirigiéndose por escrito de los hashes 21 claves públicas de diversas entidades emisoras en él”, – los autores del estudio de escritura.
Con cada nueva conexión, Twitter Kit comprueba la cadena de certificados recibidos por la presencia de una de las claves públicas de su lista. sin embargo, los desarrolladores han cometido un error en la aplicación de este enfoque para iOS: que no está prevista la verificación del nombre de dominio especificado en el certificado de entidad final (certificado de entidad final, También certificado de la hoja). Debido a esto, la aplicación vulnerable aceptará cualquier cadena de certificados válidos si una de las claves públicas coincide con la lista especificada.
“El propietario de un dominio que tiene un certificado válido emitido por una de estas CA será capaz de utilizarlo para realizar ataques contra MitM aplicaciones que interactúan con api.twitter.com a través del Kit de Twitter para iOS”, - explican los investigadores.
Los expertos informaron en Twitter acerca de su descubrimiento en mayo de este año. De acuerdo con Jens Heider, desarrolladores, admitió que había un problema, pero no dio a conocer un parche para la biblioteca retirado de apoyo. En lugar, que sustituye el código API de Twitter con una versión actualizada.
