• IT-Karriere:
  • Services:

Twitter: iOS-Apps verwenden altes Twitterkit mit Sicherheitslücke

Das Fraunhofer SIT hat eine Sicherheitslücke im eingestellten Twitterkit entdeckt, die nicht mehr geschlossen werden soll. Über diese kann ein Man-in-the-Middle-Angriff durchgeführt werden. Einige iOS-Apps verwenden die Software noch, um auf Tweets zuzugreifen oder einen Login mit Twitter anzubieten.

Artikel veröffentlicht am ,
In manchen iOS-Apps steckt eine verwundbare Twitter-Software.
In manchen iOS-Apps steckt eine verwundbare Twitter-Software. (Bild: Tracy Le Blanc/Pexels)

Bereits im Oktober 2018 hat Twitter den Support für die Software Twitterkit eingestellt, dennoch verwenden einige iOS-Apps sie, um beispielsweise Twitternachrichten abzuschicken oder sich über Twitter anzumelden. Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben eine Sicherheitslücke in der Software gefunden. Mit dieser soll Identitätsdiebstahl, Account-Missbrauch oder das Abfangen von Daten möglich sein. Twitter habe die Sicherheitslücke bestätigt - da die Software bereits eingestellt wurde, soll sie jedoch nicht geschlossen werden. Es liege an den App-Entwicklern, sie nicht mehr zu verwenden. Die Twitter-eigene App Periscope sei dagegen bereits gepatcht worden, schreiben die Forscher.

Stellenmarkt
  1. WIRCON GmbH, Heidelberg
  2. über duerenhoff GmbH, Hannover

Die Sicherheitsexperten entdeckten einen Fehler beim Handling von SSL-Zertifikaten. Das Twitterkit prüfe über ein sogenanntes Cert-Pinning, ob ein Zertifikat für Api.twitter.com von einem Zertifzierer wie Verigsign, Geotrust oder Digicert signiert worden sei. Der Domainname sei hingegen nicht überprüft worden, schreiben sie. Dadurch lasse sich dem Twitterkit über ein Man-in-the-Middle-Angriff ein Zertifikat mit einem beliebigen Domainnamen unterjubeln, solange es von einem der Zertifizierer signiert worden sei. Ein Angreifer könnte so den Verkehr auf seinen eigenen Server umleiten - beispielsweise in einem offenen WLAN. Allerdings würde beim Login auf Twitter die Webview-Komponente von Apple verwendet, die den Domainnamen überprüfe, hier hätten die Forscher den Verkehr nicht abfangen können, sondern die Anfragen an Twitter durchleiten müssen - die dann mit dem richtigen Zertifikat verschlüsselt worden seien.

In einer News-App konnten sie über die Funktion Anmelden mit Twitter den Login-Token abgreifen und darüber die Twitter-API im Namen des Nutzers langfristig nutzen. Sie konnten sich so Zugriff auf private Daten des Nutzers, wie geschützte Tweets und Direktnachrichten, verschaffen. Auch das Absetzen von Tweets im Namen des Nutzers sei möglich sowie das Liken oder Retweeten. Das Passwort konnten sie jedoch nicht einsehen.

Unter den 2.000 beliebtesten iOS-Apps in Deutschland sollen 45 Anwendungen betroffen sein, erklären die Forscher. Von den insgesamt 2 Millionen Apps in Apples App Store dürften daher einige betroffen sein. Auch Apps die mit dem Entwickler-Framework Google Fabric geschrieben sind, könnten gefährdet sein. Die betroffenen Apps möchte das Fraunhofer SIT noch nicht nennen, um den Entwicklern die Möglichkeit zu geben, das Twitterkit durch eine Alternative zu ersetzen. "Wir wollen alle iOS-Entwickler dringend davor warnen, diese Softwarebibliothek zu nutzen oder im eigenen Code zu belassen. Das komplette Twitterkit ist unsicher", sagte Dr. Jens Heider vom Fraunhofer SIT.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Battlefield V für 21,49€ und Star Wars Jedi: Fallen Order für 52,99€)
  2. (u. a. Quantum Break für 7,99€ und The Flame in the Flood für 2,99€)
  3. 159,92€
  4. 188,00€

Folgen Sie uns
       


Atari Portfolio angesehen

Der Atari Portfolio war einer der ersten Palmtop-Computer der Welt - und ist auch 30 Jahre später noch ein interessanter Teil der Computergeschichte. Golem.de hat sich den Mini-PC im Retrotest angeschaut.

Atari Portfolio angesehen Video aufrufen
In eigener Sache: Aktiv werden für Golem.de
In eigener Sache
Aktiv werden für Golem.de

Keine Werbung, kein unerwünschtes Tracking - kein Problem! Wer Golem.de-Inhalte pur nutzen möchte, hat neben dem Abo Golem pur jetzt eine weitere Möglichkeit, Golem.de zu unterstützen.

  1. Golem Akademie Von wegen rechtsfreier Raum!
  2. In eigener Sache Wie sich Unternehmen und Behörden für ITler attraktiv machen
  3. In eigener Sache Unser Kubernetes-Workshop kommt auf Touren

Neuer Streamingdienst von Disney: Disney+ ist stark bei Filmen und schwach bei Serien
Neuer Streamingdienst von Disney
Disney+ ist stark bei Filmen und schwach bei Serien

Das Hollywoodstudio Disney ist in den Markt für Videostreamingabos eingestiegen. In den USA hat es beim Start von Disney+ technische Probleme gegeben. Mit Blick auf inhaltliche Vielfalt kann der Dienst weder mit Netflix noch mit Amazon Prime Video mithalten.
Von Ingo Pakalski

  1. Disney+ Disney korrigiert falsches Seitenverhältnis bei den Simpsons
  2. Videostreaming im Abo Disney+ hat 10 Millionen Abonnenten
  3. Disney+ Disney bringt seinen Streaming-Dienst auf Fire-TV-Geräte

Definitive Editon angespielt: Das Age of Empires 2 für Könige
Definitive Editon angespielt
Das Age of Empires 2 für Könige

Die 27 Einzelspielerkampagnen sollen für rund 200 Stunden Beschäftigung sorgen, dazu kommen Verbesserungen bei der Grafik und Bedienung sowie eine von Grund auf neu programmierte Gegner- oder Begleit-KI: Die Definitive Edition von Age of Empires 2 ist erhältlich.

  1. Microsoft Age of Empires 4 baut auf Nahrung, Holz, Stein und Gold
  2. Microsoft Age of Empires 4 schickt Spieler ins Mittelalter

    •  /