På grunn av sårbarhet i Twitter API, tusenvis av iOS-apper er under angrep

Den foreldet API, som mange iOS-applikasjoner fortsatt bruke for autorisasjon via Twitter, inneholder et sikkerhetsproblem som kan gjøre det mulig for brukeren å få OAuth-tilgangskoden fra “midtstilling” posisjon og utføre forskjellige handlinger på det sosiale nettverket på vegne av offeret.

ENccording eksperter fra det tyske selskapet Fraunhofer SIT, sårbarhet CVE-2019-16263 knyttet til Twitter Kit bibliotek, som Twitter utviklere forlatt om et år siden.

likevel, en analyse av 2,000 populære iOS programmer i Tyskland viste at problemet kode er fortsatt til stede i 45 programmer som er installert av millioner av mennesker i dette landet. Hvis vi ser på problemet på en global skala, da listen over programvareprodukter bruker utdatert Twitter Kit rammeverk, ifølge forskere, kan utvide til titusenvis av elementer.

Les også: Sårbarhet i WhatsApp gir tilgang til enheten ved hjelp av en gif-bilde

Ifølge Twitter, De Twitter Kit er en open source development kit (SDK) som gjør det mulig for mobile applikasjoner å vise tweets, autorisere brukere av sosiale nettverk, og arbeide sammen med den Twitter API. Den foreldet biblioteket ble avviklet i oktober 2018; På den tiden, programutviklere ble rådet til å bytte til andre SDK. derimot, problematisk kode, I følge Jens Heider av Fraunhofer SIT, forble i GitHub repository, uten noen indikasjon på muligheten for dets anvendelse i cyberattacks.

“The Twitter biblioteket på GitHub inneholder fortsatt farlig kode, Dette bekymrer oss, fordi de programmer som bruker det virker som de skal, og utviklerne er ikke opptatt av å oppdatere dem, flytte til en mer sikker Twitter bibliotek”, - eksperten sa.

I sin kommentar, Heider ikke navngi de berørte programmene, bare bemerkes at listen inneholder programmer for å lese nyheter, så vel som mange andre programmer og tjenester som lar autorisasjon via Twitter.

“Hvis forfatteren av angrepet klarer å få en OAuth token (Twitter), han kan bruke den til å publisere tweets i målkontoen feed, se korrespondanse i PM, kopiere andre brukeres innlegg til offerets side, ” – forklarer en ekspert.

Ifølge Fraunhofer SIT blogg innlegg, problemet med TwitterKit utgivelser 3.4.2 og under for iOS er forårsaket av utilstrekkelig autentisering av TLS-sertifikatet api.twitter.com.

"De [utviklerne] ønsket å øke sikkerheten ved å sikre den offentlige nøkkelen av betrodde rot sertifikatutstedende sentre (sertifiseringsinstanser, instanser) slik som VeriSign, DigiCert og GeoTrust. For dette formålet, de skapte en rekke data ved å skrive hashes av 21 offentlige nøkler av ulike instanser inn i det”, – forfatterne av studien skrive.

Med hver ny tilkobling, Twitter Kit kontrollerer mottatt sertifikatkjeden for tilstedeværelsen av en av de offentlige nøkler fra sin liste. derimot, utviklerne har gjort en feil i implementeringen av denne tilnærmingen for iOS: de ikke gi for verifisering av domenenavnet angitt i slutt entitetssertifikatet (end-entitetssertifikat, også blad sertifikat). På grunn av dette, den sårbare programmet vil akseptere noen kjede av gyldige sertifikater hvis en av de offentlige nøkler matcher den angitte listen.

“Et domene eier som har et gyldig sertifikat utstedt av en av disse instanser vil kunne bruke den til å utføre MITM angrep mot programmer som samhandler med api.twitter.com via Twitter Kit for iOS”, - forskerne forklare.

Eksperter rapportert på Twitter om deres funn i mai i år. Ifølge Jens Heider, utviklere, innrømmet at det var et problem, men ga ikke ut en oppdatering for biblioteket fjernet fra støtte. I stedet, de erstattet Twitter API kode med en oppdatert versjon.

Polina Lisovskaya

Jeg jobber som markedssjef i mange år nå og elsker å søke etter interessante emner for deg

Legg igjen et svar

Tilbake til toppen-knappen