오래된 API, 이는 많은 아이폰 OS 응용 프로그램은 여전히 트위터를 통해 인증에 사용, 사용자가 "중간 위치"위치에서 OAuth 액세스 토큰을 얻을 피해자를 대신하여 소셜 네트워크에 다양한 작업을 수행 할 수있는 취약점을 포함.
에이독일 회사에서 전문가 ccording 프라운호퍼 SIT, 취약점 CVE-2019-16263 트위터 키트 라이브러리에 링크, 이는 트위터 개발자는 년 전에 포기.그렇지만, 분석 2,000 독일에서 인기있는 아이폰 OS 프로그램은 문제의 코드는 여전히 존재 함을 보여 주었다 45 이 나라에서 수백만의 사람들이 설치된 응용 프로그램. 우리는 세계적인 규모의 문제를 고려하는 경우, 오래된 트위터 키트 프레임 워크를 사용하여 소프트웨어 제품의 다음 목록, 연구자에 따라, 수십 항목의 수천을 확장 할 수 있습니다.
또한 읽기: WhatsApp에 취약점은 GIF 화상을 사용하여 장치에 대한 액세스를 허용
트위터에 따르면,, 그만큼 트위터 키트 이다 오픈 소스 개발 키트 (SDK) 그 트윗을 표시하는 모바일 애플리케이션을 할 수 있습니다, 소셜 네트워크 사용자에게 권한을 부여, 와 트위터 API로 작업. 사용되지 않는 라이브러리는 10 월에 중단되었다 2018; 그 시간에, 응용 프로그램 개발자는 다른 SDK를 전환하도록 조언했다. 하나, 문제가있는 코드, 에 따르면 옌스 하이더 프라운호퍼 SIT의, GitHub의 저장소에 남아, 사이버에서의 사용 가능성의 징후없이.
"GitHub의에 트위터 라이브러리는 여전히 위험한 코드를 포함, 이것은 우리를 걱정, 를 사용하는 응용 프로그램이 제대로 작동하기 때문에, 그리고 개발자들은 업데이트 싶어하지 않습니다, 보다 안전한 트위터 라이브러리 '로 이동, - 전문가는 말했다.
그의 의견에, 하이더는 영향을받는 응용 프로그램의 이름을 지정하지 않았다, 목록 만 읽고 뉴스 프로그램이 포함되어 주목, 뿐만 아니라 트위터를 통해 인증을 할 수있는 여러 다른 응용 프로그램 및 서비스.
공격의 저자가 관리하는 경우 "는 OAuth는 토큰을 얻을 수 있습니다 (지저귀다), 그는 대상 계정의 피드에 트윗을 게시하는 데 사용할 수 있습니다, PM의 대응을 볼, 피해자의 페이지로 다른 사용자의 게시물을 복사, " – 전문가 설명.
프라운호퍼 SIT에 따르면, 블로그 포스트, TwitterKit 릴리스의 문제 3.4.2 아래 iOS 용 TLS 인증서의 부적절한 인증 api.twitter.com에 의해 발생.
"그들 [개발자] 신뢰할 수있는 루트 인증서 발급 센터의 공개 키를 확보하여 보안을 강화하고 싶었다 (인증 기관, CA에) VeriSign과 같은, DigiCert 및 GeoTrust의. 이 목적을 위해, 그들은의 해시를 기록함으로써 데이터의 배열을 만들어 21 다양한있는 CA의 공개 키 그것에 ", – 연구 쓰기의 저자.
각각의 새로운 연결, 트위터 키트는 목록의 공개 키들 중 하나의 존재에 대해 수신 된 인증서 체인을 확인. 하나, 개발자들은 iOS 용이 방법을 구현하는 실수를: 그들은 최종 엔티티 인증서에 지정된 도메인 이름의 검증을 제공하지 않았다 (엔드 엔티티 인증서, 또한 잎 인증서). 이것 때문에, 공개 키 중 하나가 지정된 목록과 일치하는 경우 취약한 응용 프로그램이 유효한 인증서의 체인을 받아 들일 것입니다.
"올바른 이들의 CA 중 하나에 의해 발급 된 인증서 iOS 용 트위터 키트를 통해 api.twitter.com와 상호 작용하는 응용 프로그램에 대한 MITM 공격을 수행하는 데 사용할 수있는 도메인의 소유자", - 연구진은 설명.
전문가들은 월 자신의 발견 올해에 대해 트위터에보고. 옌스 하이더에 따르면, 개발자, 문제가 있다고 인정, 하지만 지원에서 제거 라이브러리에 대한 패치를 발표하지 않았다. 대신, 그들은 업데이트 된 버전으로 트위터 API 코드를 교체.
