De verouderde API, die vele iOS applicaties nog steeds gebruik maken van een vergunning via Twitter, bevat een kwetsbaarheid waardoor de gebruiker een toegang OAuth-token te krijgen van de “middle position” positie en het uitvoeren van verschillende acties op het sociale netwerk voor rekening van het slachtoffer.
EENolgens deskundigen van het Duitse bedrijf Fraunhofer SIT, de kwetsbaarheid CVE-2019-16.263 gekoppeld aan de Twitter Kit bibliotheek, die Twitter-ontwikkelaars verlaten ongeveer een jaar geleden.niettemin, een analyse van 2,000 populaire iOS-programma's in Duitsland is gebleken dat het probleem code is nog steeds aanwezig in 45 toepassingen door miljoenen mensen geïnstalleerd in dit land. Als we kijken naar het probleem op wereldschaal, dan is de lijst van software producten met behulp van de verouderde Twitter Kit kader, volgens de onderzoekers, kan worden uitgebreid tot tienduizenden items.
Lees ook: Door een beveiligingslek in WhatsApp biedt toegang tot het apparaat met behulp van een gif-foto
Volgens Twitter, De Twitter Kit is een open source development kit (SDK) waarmee mobiele applicaties om tweets weer te geven, autoriseren gebruikers van sociale netwerken, en werken met de Twitter API. De verouderde bibliotheek werd stopgezet in oktober 2018; In die tijd, applicatie-ontwikkelaars kregen het advies om te schakelen naar andere SDK. Echter, de problematische code, Volgens Jens Heider van Fraunhofer SIT, bleef in de GitHub repository, zonder enige vermelding van de mogelijkheid van het gebruik cyberaanvallen.
“De Twitter bibliotheek op GitHub bevat nog steeds gevaarlijk code, Dit baart ons zorgen, omdat de applicaties te gebruiken goed werken, en de ontwikkelaars zijn niet enthousiast om ze bij te werken, verhuizen naar een veiliger Twitter bibliotheek”, - de expert vertelde.
In zijn commentaar, Heider niet de getroffen toepassingen te noemen, alleen opgemerkt dat de lijst bevat programma's voor het lezen van nieuws, evenals vele andere toepassingen en diensten die vergunning toestaan via Twitter.
“Als de auteur van de aanval slaagt erin om een OAuth-token (tjilpen), hij kan het gebruiken om tweets in het voer van de doelrekening publiceren, Bekijk de correspondentie PM, kopiëren berichten van andere gebruikers om pagina van het slachtoffer, ” – legt een expert.
Volgens de Fraunhofer SIT blogpost, het probleem met TwitterKit releases 3.4.2 en hieronder voor iOS wordt veroorzaakt door de gebrekkige authenticatie van de TLS-certificaat api.twitter.com.
"Ze [de ontwikkelaars] wilde de veiligheid te verhogen door zich te verzekeren van de publieke sleutel van de vertrouwde root-certificaat uitgevende centra (certificeringsinstanties, CA's) zoals VeriSign, DigiCert en GeoTrust. Voor dit doeleinde, creëerden ze een matrix van gegevens door het schrijven van hashes 21 publieke sleutels van verschillende CA's erin”, – de auteurs van de studie schrijven.
Met elke nieuwe verbinding, Twitter Kit controleert de ontvangen certificaat keten voor de aanwezigheid van een van de publieke sleutels van de lijst. Echter, ontwikkelaars een fout gemaakt bij de uitvoering van deze aanpak voor iOS: ze niet bieden voor de verificatie van de domeinnaam opgegeven in de end-entiteit certificaat (end-entiteit certificaat, Ook blad certificaat). Vanwege dit, de kwetsbare toepassing zal een keten van geldige certificaten aanvaarden wanneer één van de publieke sleutels aan de opgegeven lijst.
“Een domein eigenaar die een geldig certificaat is afgegeven door één van deze CA's in staat zijn om het te gebruiken om MitM aanvallen op applicaties die interageren met api.twitter.com via de Twitter Kit voor iOS uit te voeren zal zijn heeft”, - de onderzoekers verklaren.
Experts gemeld op Twitter over hun vondst in mei van dit jaar. Volgens Jens Heider, ontwikkelaars, gaf toe dat er een probleem was, maar heeft een patch voor de bibliotheek verwijderd van de steun niet los. In plaats daarvan, zij vervingen de Twitter API-code met een bijgewerkte versie.
