Devido à vulnerabilidade no Twitter API, milhares de aplicações iOS está sob o ataque

A API desatualizada, que muitos aplicativos iOS ainda usar de autorização via Twitter, contém uma vulnerabilidade que poderia permitir ao usuário obter um token de acesso OAuth a partir da posição “posição intermediária” e realizar várias ações na rede social em nome da vítima.

UMAegundo especialistas da empresa alemã Fraunhofer SIT, a vulnerabilidade CVE-2019-16263 ligada à biblioteca Twitter Kit, qual os desenvolvedores do Twitter abandonado cerca de um ano atrás.

mesmo assim, uma análise de 2,000 programas iOS populares na Alemanha mostraram que o código do problema ainda está presente em 45 aplicativos instalados por milhões de pessoas neste país. Se considerarmos o problema em escala global, em seguida, a lista de produtos de software usando a estrutura ultrapassada Kit Twitter, de acordo com pesquisadores, pode expandir-se para dezenas de milhares de itens.

Leia também: Vulnerabilidade no WhatsApp permite o acesso ao dispositivo usando a-gif

De acordo com o Twitter, o Kit Twitter é um kit de desenvolvimento open source (SDK) que permite que aplicações móveis para mostrar os tweets, autorizar usuários de redes sociais, e trabalhar com a API do Twitter. A biblioteca obsoleta foi interrompido em outubro 2018; Naquela hora, desenvolvedores de aplicativos foram aconselhados a mudar para outro SDKs. Contudo, o código problemático, De acordo com Jens Heider da Fraunhofer SIT, permaneceu no repositório GitHub, sem qualquer indicação sobre a possibilidade de seu uso em ataques cibernéticos.

“A biblioteca Twitter no GitHub ainda contém código perigoso, isso nos preocupa, porque os aplicativos que a utilizam estão funcionando corretamente, e os desenvolvedores não estão ansiosos para atualizá-los, movendo-se a uma biblioteca de Twitter mais seguro”, - o perito disse.

Em seu comentário, Heider não revelou o nome dos aplicativos afetados, só notou que a lista inclui programas para leitura de notícias, bem como muitas outras aplicações e serviços que permitem a autorização via Twitter.

“Se o autor do ataque consegue obter um token OAuth (Twitter), ele pode usá-lo para publicar os tweets na alimentação da conta de destino, ver a correspondência em PM, copiar mensagens de outros usuários para a página da vítima, ” – explica um especialista.

De acordo com o Fraunhofer SIT post, o problema com lançamentos TwitterKit 3.4.2 e abaixo para iOS é causada pela autenticação inadequada do certificado TLS api.twitter.com.

"Eles [os desenvolvedores] queria aumentar a segurança, assegurando a chave pública de centros emissores de certificados raiz confiáveis (autoridades de certificação, CAs) como VeriSign, DigiCert e GeoTrust. Para este efeito,, eles criaram uma série de dados, por escrito hashes de 21 chaves públicas de vários CAs para ele”, – os autores do estudo escrevem.

Com cada nova conexão, Twitter Kit verifica a cadeia de certificados recebidos para a presença de uma das chaves públicas de sua lista. Contudo, desenvolvedores cometeu um erro na implementação desta abordagem para iOS: eles não fornecem para a verificação do nome de domínio especificado no certificado de entidade final (certificado de entidade final, Também certificado folha). Por causa disso, a aplicação vulnerável aceitará qualquer cadeia de certificados válidos se uma das chaves públicas corresponde à lista especificada.

“Um proprietário do domínio que tem um certificado válido emitido por um desses CAs será capaz de usá-lo para realizar ataques MITM contra aplicativos que interagem com api.twitter.com através do Kit Twitter para iOS”, - explicam os pesquisadores.

Especialistas relatou no Twitter sobre sua descoberta em maio deste ano. De acordo com Jens Heider, desenvolvedores, admitiu que havia um problema, mas não liberou um patch para a biblioteca removido do suporte. Em vez de, que substituiu o código API do Twitter com uma versão atualizada.

Polina Lisovskaya

Trabalho como gerente de marketing há anos e adoro pesquisar tópicos interessantes para você

Deixe uma resposta

Botão Voltar ao Topo