• IT-Karriere:
  • Services:

Twitter: iOS-Apps verwenden altes Twitterkit mit Sicherheitslücke

Das Fraunhofer SIT hat eine Sicherheitslücke im eingestellten Twitterkit entdeckt, die nicht mehr geschlossen werden soll. Über diese kann ein Man-in-the-Middle-Angriff durchgeführt werden. Einige iOS-Apps verwenden die Software noch, um auf Tweets zuzugreifen oder einen Login mit Twitter anzubieten.

Artikel veröffentlicht am ,
In manchen iOS-Apps steckt eine verwundbare Twitter-Software.
In manchen iOS-Apps steckt eine verwundbare Twitter-Software. (Bild: Tracy Le Blanc/Pexels)

Bereits im Oktober 2018 hat Twitter den Support für die Software Twitterkit eingestellt, dennoch verwenden einige iOS-Apps sie, um beispielsweise Twitternachrichten abzuschicken oder sich über Twitter anzumelden. Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben eine Sicherheitslücke in der Software gefunden. Mit dieser soll Identitätsdiebstahl, Account-Missbrauch oder das Abfangen von Daten möglich sein. Twitter habe die Sicherheitslücke bestätigt - da die Software bereits eingestellt wurde, soll sie jedoch nicht geschlossen werden. Es liege an den App-Entwicklern, sie nicht mehr zu verwenden. Die Twitter-eigene App Periscope sei dagegen bereits gepatcht worden, schreiben die Forscher.

Stellenmarkt
  1. AKKA Deutschland GmbH, München
  2. Bayerische Versorgungskammer, München

Die Sicherheitsexperten entdeckten einen Fehler beim Handling von SSL-Zertifikaten. Das Twitterkit prüfe über ein sogenanntes Cert-Pinning, ob ein Zertifikat für Api.twitter.com von einem Zertifzierer wie Verigsign, Geotrust oder Digicert signiert worden sei. Der Domainname sei hingegen nicht überprüft worden, schreiben sie. Dadurch lasse sich dem Twitterkit über ein Man-in-the-Middle-Angriff ein Zertifikat mit einem beliebigen Domainnamen unterjubeln, solange es von einem der Zertifizierer signiert worden sei. Ein Angreifer könnte so den Verkehr auf seinen eigenen Server umleiten - beispielsweise in einem offenen WLAN. Allerdings würde beim Login auf Twitter die Webview-Komponente von Apple verwendet, die den Domainnamen überprüfe, hier hätten die Forscher den Verkehr nicht abfangen können, sondern die Anfragen an Twitter durchleiten müssen - die dann mit dem richtigen Zertifikat verschlüsselt worden seien.

In einer News-App konnten sie über die Funktion Anmelden mit Twitter den Login-Token abgreifen und darüber die Twitter-API im Namen des Nutzers langfristig nutzen. Sie konnten sich so Zugriff auf private Daten des Nutzers, wie geschützte Tweets und Direktnachrichten, verschaffen. Auch das Absetzen von Tweets im Namen des Nutzers sei möglich sowie das Liken oder Retweeten. Das Passwort konnten sie jedoch nicht einsehen.

Unter den 2.000 beliebtesten iOS-Apps in Deutschland sollen 45 Anwendungen betroffen sein, erklären die Forscher. Von den insgesamt 2 Millionen Apps in Apples App Store dürften daher einige betroffen sein. Auch Apps die mit dem Entwickler-Framework Google Fabric geschrieben sind, könnten gefährdet sein. Die betroffenen Apps möchte das Fraunhofer SIT noch nicht nennen, um den Entwicklern die Möglichkeit zu geben, das Twitterkit durch eine Alternative zu ersetzen. "Wir wollen alle iOS-Entwickler dringend davor warnen, diese Softwarebibliothek zu nutzen oder im eigenen Code zu belassen. Das komplette Twitterkit ist unsicher", sagte Dr. Jens Heider vom Fraunhofer SIT.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. (u. a. Asus Rog Strix X570-F + Ryzen 7 3700X für 555,00€, Asus Tuf B450-Plus + Ryzen 7 2700 für...
  2. 419,00€ (Bestpreis!)

Folgen Sie uns
       


Golem-Akademie - Trainer Stefan stellt sich vor

Rund 20 Jahre Erfahrung als Manager und Mitglied der Geschäftsleitung im internationalen Kontext sowie als Berater sind die Basis seiner Trainings. Der Diplom-Ingenieur Stefan Bayer hat als Mitarbeiter der ersten Stunde bei Amazon.de den Servicegedanken in der kompletten Supply Chain in Deutschland entscheidend mitgeprägt und bis zu 4.500 Menschen geführt. Er ist als Trainer und Coach spezialisiert auf die Begleitung von Führungskräften und Management-Teams sowie auf prozessorientierte Trainings.

Golem-Akademie - Trainer Stefan stellt sich vor Video aufrufen
Amazon Echo Studio im Test: Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher
Amazon Echo Studio im Test
Homepod-Bezwinger begeistert auch als Fire-TV-Lautsprecher

Mit dem Echo Studio bringt Amazon seinen teuersten Alexa-Lautsprecher auf den Markt. Dennoch ist er deutlich günstiger als Apples Homepod, liefert aber einen besseren Klang. Und das ist längst nicht alles.
Ein Test von Ingo Pakalski

  1. Amazons Heimkino-Funktion Echo-Lautsprecher drahtlos mit Fire-TV-Geräten verbinden
  2. Echo Flex Amazons preiswertester Alexa-Lautsprecher
  3. Amazons Alexa-Lautsprecher Echo Dot hat ein LED-Display - Echo soll besser klingen

Power-to-X: Sprit aus Ökostrom, Luft und Wasser
Power-to-X
Sprit aus Ökostrom, Luft und Wasser

Die Energiewende ist ohne synthetische Treibstoffe nicht zu schaffen. In Karlsruhe ist eine Anlage in Betrieb gegangen, die das mithilfe von teilweise völlig neuen Techniken schafft.
Ein Bericht von Wolfgang Kempkens

  1. The Ocean Cleanup Interceptor fischt Plastikmüll aus Flüssen
  2. The Ocean Cleanup Überarbeiteter Müllfänger sammelt Plastikteile im Pazifik

Frauen in der IT: Ist Logik von Natur aus Männersache?
Frauen in der IT
Ist Logik von Natur aus Männersache?

Wenn es um die Frage geht, warum es immer noch so wenig Frauen in der IT gibt, kommt früher oder später das Argument, dass Frauen nicht eben zur Logik veranlagt seien. Kann die niedrige Zahl von Frauen in dieser Branche tatsächlich mit der Biologie erklärt werden?
Von Valerie Lux

  1. IT-Jobs Gibt es den Fachkräftemangel wirklich?
  2. Arbeit im Amt Wichtig ist ein Talent zum Zeittotschlagen
  3. IT-Freelancer Paradiesische Zustände

    •  /