一年前 Twitter 存在漏洞的 API,可能導致今日數以百萬 iOS 用戶承受「中間人」攻擊的風險!黑客不但能騎劫 Twitter 帳戶,更可能入侵其他使用「login with Twitter」的第三方應用程式。
漏洞 Twitter Kit 已在一年前被取代
研究人員警告,舊的 Twitter API 仍然被 iOS 應用程式廣泛使用,可能會讓「中間人」(man-in-the-middle) 攻擊有機可乘。根據在德國的研究人員表示,存在漏洞的 Twitter Kit 在去年已經被 Twitter 取代,但是檢查 2,000 個德國最普遍的 iOS 應用程式發現,其中 45 個應用程式仍然使用舊 Kit ,潛在受影響的德國用戶數以百萬計,而全球仍然使用漏洞 Twitter Kit 的應用程式數量可能數以萬計。
涉事漏洞 CVE-2019-16263 在 Twitter Kit 3.4.2 在 iOS 上不正常驗證 api.twitter.com 的 SSL 證書,Twitter 方面也不建議使用 2018 年 10 月的 Twitter Kit library 編碼,然而舊的編碼仍然在 GitHub 上沒有提示用戶該編碼可能被用作攻擊的風險。研究人員認為,由於舊編碼在功能上仍能正常運作,開發人員可能忽略保安因素而更新他們的應用程式。
雖然研究人員並沒有指出受影響的應用程式名稱,但就透露當中包括新聞閱讀器和其他服務或應用程式,容許用戶透過 Twitter Access Token 登入,如果攻擊者取得 Twitter 的 OAuth token,就可以在目標的 Twitter 帳號內發文、讀取過去的私人訊息、like 或 retweet 等動作。
已推出代替品但不修復舊版本
研究人員在今年 5 月時已通知 Twitter 有關的漏洞 API,不過由於 Twitter 已推出更新版本代替舊版的關係,不對漏洞舊版本提供修復。如果有人意圖使用這個漏洞,首先要取得一個 Wi-Fi 連接點的控制,然後等待受害者連接該裝置,就可以盜取他們的 Twitter OAuth token,不但可以取存用戶的 Twitter 帳號,還可以通過 login with Twitter 功能進入第三方帳號。
資料來源:Threat Post