• IT-Karriere:
  • Services:

Twitter: iOS-Apps verwenden altes Twitterkit mit Sicherheitslücke

Das Fraunhofer SIT hat eine Sicherheitslücke im eingestellten Twitterkit entdeckt, die nicht mehr geschlossen werden soll. Über diese kann ein Man-in-the-Middle-Angriff durchgeführt werden. Einige iOS-Apps verwenden die Software noch, um auf Tweets zuzugreifen oder einen Login mit Twitter anzubieten.

Artikel veröffentlicht am ,
In manchen iOS-Apps steckt eine verwundbare Twitter-Software.
In manchen iOS-Apps steckt eine verwundbare Twitter-Software. (Bild: Tracy Le Blanc/Pexels)

Bereits im Oktober 2018 hat Twitter den Support für die Software Twitterkit eingestellt, dennoch verwenden einige iOS-Apps sie, um beispielsweise Twitternachrichten abzuschicken oder sich über Twitter anzumelden. Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben eine Sicherheitslücke in der Software gefunden. Mit dieser soll Identitätsdiebstahl, Account-Missbrauch oder das Abfangen von Daten möglich sein. Twitter habe die Sicherheitslücke bestätigt - da die Software bereits eingestellt wurde, soll sie jedoch nicht geschlossen werden. Es liege an den App-Entwicklern, sie nicht mehr zu verwenden. Die Twitter-eigene App Periscope sei dagegen bereits gepatcht worden, schreiben die Forscher.

Stellenmarkt
  1. OEDIV KG, Oldenburg
  2. Haufe Group, Freiburg

Die Sicherheitsexperten entdeckten einen Fehler beim Handling von SSL-Zertifikaten. Das Twitterkit prüfe über ein sogenanntes Cert-Pinning, ob ein Zertifikat für Api.twitter.com von einem Zertifzierer wie Verigsign, Geotrust oder Digicert signiert worden sei. Der Domainname sei hingegen nicht überprüft worden, schreiben sie. Dadurch lasse sich dem Twitterkit über ein Man-in-the-Middle-Angriff ein Zertifikat mit einem beliebigen Domainnamen unterjubeln, solange es von einem der Zertifizierer signiert worden sei. Ein Angreifer könnte so den Verkehr auf seinen eigenen Server umleiten - beispielsweise in einem offenen WLAN. Allerdings würde beim Login auf Twitter die Webview-Komponente von Apple verwendet, die den Domainnamen überprüfe, hier hätten die Forscher den Verkehr nicht abfangen können, sondern die Anfragen an Twitter durchleiten müssen - die dann mit dem richtigen Zertifikat verschlüsselt worden seien.

In einer News-App konnten sie über die Funktion Anmelden mit Twitter den Login-Token abgreifen und darüber die Twitter-API im Namen des Nutzers langfristig nutzen. Sie konnten sich so Zugriff auf private Daten des Nutzers, wie geschützte Tweets und Direktnachrichten, verschaffen. Auch das Absetzen von Tweets im Namen des Nutzers sei möglich sowie das Liken oder Retweeten. Das Passwort konnten sie jedoch nicht einsehen.

Unter den 2.000 beliebtesten iOS-Apps in Deutschland sollen 45 Anwendungen betroffen sein, erklären die Forscher. Von den insgesamt 2 Millionen Apps in Apples App Store dürften daher einige betroffen sein. Auch Apps die mit dem Entwickler-Framework Google Fabric geschrieben sind, könnten gefährdet sein. Die betroffenen Apps möchte das Fraunhofer SIT noch nicht nennen, um den Entwicklern die Möglichkeit zu geben, das Twitterkit durch eine Alternative zu ersetzen. "Wir wollen alle iOS-Entwickler dringend davor warnen, diese Softwarebibliothek zu nutzen oder im eigenen Code zu belassen. Das komplette Twitterkit ist unsicher", sagte Dr. Jens Heider vom Fraunhofer SIT.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 16,49€
  2. 14,49€
  3. (-40%) 41,99€

Folgen Sie uns
       


Disney Plus - Test

Der Streamingdienst Disney Plus wurde am 24. März 2020 endlich auch in Deutschland gestartet. Golem.de hat die Benutzeroberfläche einem Test unterzogen und auch einen Blick auf das Film- und Serienangebot des Netflix-Mitbewerbers geworfen.

Disney Plus - Test Video aufrufen
Arlt-Komplett-PC ausprobiert: Mit Ryzen Pro wird der Büro-PC sparsam und flott
Arlt-Komplett-PC ausprobiert
Mit Ryzen Pro wird der Büro-PC sparsam und flott

Acht Kerne, schnelle integrierte Grafik, NVMe-SSD direkt an der CPU: Ein mit Ryzen Pro 4000G ausgestatteter Rechner ist vielseitig.
Ein Hands-on von Marc Sauter

  1. Udoo Bolt Gear Mini-PC stopft Ryzen-CPU in 13 x 13 Zentimeter
  2. Vermeer AMD soll Ryzen 4000 mit 5 nm statt 7 nm produzieren
  3. Vermeer AMD unterstützt Ryzen 4000 auf X470 und B450

Mars 2020: Was ist neu am Marsrover Perseverance?
Mars 2020
Was ist neu am Marsrover Perseverance?

Er hat 2,5 Milliarden US-Dollar gekostet und sieht genauso aus wie Curiosity. Einiges ist dennoch neu, manches auch nur Spielzeug.
Von Frank Wunderlich-Pfeiffer


    Zero SR/S: Brutale Beschleunigung, lange Ladezeiten
    Zero SR/S
    Brutale Beschleunigung, lange Ladezeiten

    Motorradfahrern drohen Fahrverbote mit lärmenden Maschinen. Ist ein Elektromotorrad wie die Zero SR/S eine leise Alternative zum Verbrenner?
    Ein Erfahrungsbericht von Peter Ilg

    1. Platzsparend Yamaha enthüllt kompakte Elektromotoren für Motorräder
    2. Blacktea Elektro-Moped mit 70 km Reichweite ab 2.300 Euro
    3. Akzeptable Reichweite Pursang E-Track als leichtes Elektromotorrad für Pendler

      •  /