• IT-Karriere:
  • Services:

Twitter: iOS-Apps verwenden altes Twitterkit mit Sicherheitslücke

Das Fraunhofer SIT hat eine Sicherheitslücke im eingestellten Twitterkit entdeckt, die nicht mehr geschlossen werden soll. Über diese kann ein Man-in-the-Middle-Angriff durchgeführt werden. Einige iOS-Apps verwenden die Software noch, um auf Tweets zuzugreifen oder einen Login mit Twitter anzubieten.

Artikel veröffentlicht am ,
In manchen iOS-Apps steckt eine verwundbare Twitter-Software.
In manchen iOS-Apps steckt eine verwundbare Twitter-Software. (Bild: Tracy Le Blanc/Pexels)

Bereits im Oktober 2018 hat Twitter den Support für die Software Twitterkit eingestellt, dennoch verwenden einige iOS-Apps sie, um beispielsweise Twitternachrichten abzuschicken oder sich über Twitter anzumelden. Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben eine Sicherheitslücke in der Software gefunden. Mit dieser soll Identitätsdiebstahl, Account-Missbrauch oder das Abfangen von Daten möglich sein. Twitter habe die Sicherheitslücke bestätigt - da die Software bereits eingestellt wurde, soll sie jedoch nicht geschlossen werden. Es liege an den App-Entwicklern, sie nicht mehr zu verwenden. Die Twitter-eigene App Periscope sei dagegen bereits gepatcht worden, schreiben die Forscher.

Stellenmarkt
  1. Fressnapf Holding SE, Krefeld
  2. über duerenhoff GmbH, Gießen

Die Sicherheitsexperten entdeckten einen Fehler beim Handling von SSL-Zertifikaten. Das Twitterkit prüfe über ein sogenanntes Cert-Pinning, ob ein Zertifikat für Api.twitter.com von einem Zertifzierer wie Verigsign, Geotrust oder Digicert signiert worden sei. Der Domainname sei hingegen nicht überprüft worden, schreiben sie. Dadurch lasse sich dem Twitterkit über ein Man-in-the-Middle-Angriff ein Zertifikat mit einem beliebigen Domainnamen unterjubeln, solange es von einem der Zertifizierer signiert worden sei. Ein Angreifer könnte so den Verkehr auf seinen eigenen Server umleiten - beispielsweise in einem offenen WLAN. Allerdings würde beim Login auf Twitter die Webview-Komponente von Apple verwendet, die den Domainnamen überprüfe, hier hätten die Forscher den Verkehr nicht abfangen können, sondern die Anfragen an Twitter durchleiten müssen - die dann mit dem richtigen Zertifikat verschlüsselt worden seien.

In einer News-App konnten sie über die Funktion Anmelden mit Twitter den Login-Token abgreifen und darüber die Twitter-API im Namen des Nutzers langfristig nutzen. Sie konnten sich so Zugriff auf private Daten des Nutzers, wie geschützte Tweets und Direktnachrichten, verschaffen. Auch das Absetzen von Tweets im Namen des Nutzers sei möglich sowie das Liken oder Retweeten. Das Passwort konnten sie jedoch nicht einsehen.

Unter den 2.000 beliebtesten iOS-Apps in Deutschland sollen 45 Anwendungen betroffen sein, erklären die Forscher. Von den insgesamt 2 Millionen Apps in Apples App Store dürften daher einige betroffen sein. Auch Apps die mit dem Entwickler-Framework Google Fabric geschrieben sind, könnten gefährdet sein. Die betroffenen Apps möchte das Fraunhofer SIT noch nicht nennen, um den Entwicklern die Möglichkeit zu geben, das Twitterkit durch eine Alternative zu ersetzen. "Wir wollen alle iOS-Entwickler dringend davor warnen, diese Softwarebibliothek zu nutzen oder im eigenen Code zu belassen. Das komplette Twitterkit ist unsicher", sagte Dr. Jens Heider vom Fraunhofer SIT.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 79,99€ (Release 10. Juni)
  2. 19,49€
  3. 26,99€

Folgen Sie uns
       


Samsung Galaxy S21 Ultra vorgestellt

Das Galaxy S21 Ultra ist das Topmodell von Samsungs neuer S21-Reihe und unterscheidet sich deutlich von den beiden anderen Modellen.

Samsung Galaxy S21 Ultra vorgestellt Video aufrufen
    •  /