Twitter: iOS-Apps verwenden altes Twitterkit mit Sicherheitslücke

Das Fraunhofer SIT hat eine Sicherheitslücke im eingestellten Twitterkit entdeckt, die nicht mehr geschlossen werden soll. Über diese kann ein Man-in-the-Middle-Angriff durchgeführt werden. Einige iOS-Apps verwenden die Software noch, um auf Tweets zuzugreifen oder einen Login mit Twitter anzubieten.

Artikel veröffentlicht am ,
In manchen iOS-Apps steckt eine verwundbare Twitter-Software.
In manchen iOS-Apps steckt eine verwundbare Twitter-Software. (Bild: Tracy Le Blanc/Pexels)

Bereits im Oktober 2018 hat Twitter den Support für die Software Twitterkit eingestellt, dennoch verwenden einige iOS-Apps sie, um beispielsweise Twitternachrichten abzuschicken oder sich über Twitter anzumelden. Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie SIT haben eine Sicherheitslücke in der Software gefunden. Mit dieser soll Identitätsdiebstahl, Account-Missbrauch oder das Abfangen von Daten möglich sein. Twitter habe die Sicherheitslücke bestätigt - da die Software bereits eingestellt wurde, soll sie jedoch nicht geschlossen werden. Es liege an den App-Entwicklern, sie nicht mehr zu verwenden. Die Twitter-eigene App Periscope sei dagegen bereits gepatcht worden, schreiben die Forscher.

Stellenmarkt
  1. (Junior) Consultant Logistikprozesse E-Commerce (m/w/d)
    Lidl Digital, Neckarsulm
  2. Java Backend-Entwickler (m/w/d)
    SWARCO TRAFFIC SYSTEMS GmbH, Gaggenau
Detailsuche

Die Sicherheitsexperten entdeckten einen Fehler beim Handling von SSL-Zertifikaten. Das Twitterkit prüfe über ein sogenanntes Cert-Pinning, ob ein Zertifikat für Api.twitter.com von einem Zertifzierer wie Verigsign, Geotrust oder Digicert signiert worden sei. Der Domainname sei hingegen nicht überprüft worden, schreiben sie. Dadurch lasse sich dem Twitterkit über ein Man-in-the-Middle-Angriff ein Zertifikat mit einem beliebigen Domainnamen unterjubeln, solange es von einem der Zertifizierer signiert worden sei. Ein Angreifer könnte so den Verkehr auf seinen eigenen Server umleiten - beispielsweise in einem offenen WLAN. Allerdings würde beim Login auf Twitter die Webview-Komponente von Apple verwendet, die den Domainnamen überprüfe, hier hätten die Forscher den Verkehr nicht abfangen können, sondern die Anfragen an Twitter durchleiten müssen - die dann mit dem richtigen Zertifikat verschlüsselt worden seien.

In einer News-App konnten sie über die Funktion Anmelden mit Twitter den Login-Token abgreifen und darüber die Twitter-API im Namen des Nutzers langfristig nutzen. Sie konnten sich so Zugriff auf private Daten des Nutzers, wie geschützte Tweets und Direktnachrichten, verschaffen. Auch das Absetzen von Tweets im Namen des Nutzers sei möglich sowie das Liken oder Retweeten. Das Passwort konnten sie jedoch nicht einsehen.

Unter den 2.000 beliebtesten iOS-Apps in Deutschland sollen 45 Anwendungen betroffen sein, erklären die Forscher. Von den insgesamt 2 Millionen Apps in Apples App Store dürften daher einige betroffen sein. Auch Apps die mit dem Entwickler-Framework Google Fabric geschrieben sind, könnten gefährdet sein. Die betroffenen Apps möchte das Fraunhofer SIT noch nicht nennen, um den Entwicklern die Möglichkeit zu geben, das Twitterkit durch eine Alternative zu ersetzen. "Wir wollen alle iOS-Entwickler dringend davor warnen, diese Softwarebibliothek zu nutzen oder im eigenen Code zu belassen. Das komplette Twitterkit ist unsicher", sagte Dr. Jens Heider vom Fraunhofer SIT.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
e.Go Life getestet
Abgesang auf ein schwer erfüllbares Versprechen

Der e.Go Life aus Aachen sollte Elektromobilität erschwinglich machen. Doch nach 1.500 ausgelieferten Exemplaren ist nun Schluss. Was nachvollziehbar ist.
Ein Bericht von Friedhelm Greis

e.Go Life getestet: Abgesang auf ein schwer erfüllbares Versprechen
Artikel
  1. Unbound: Neues Need for Speed verbindet Gaspedal mit Graffiti
    Unbound
    Neues Need for Speed verbindet Gaspedal mit Graffiti

    Veröffentlichung im Dezember 2022 nur für PC und die neuen Konsolen: Electronic Arts hat ein sehr buntes Need for Speed vorgestellt.

  2. Google: Pixel 7 und 7 Pro kosten so viel wie die Vorgänger
    Google
    Pixel 7 und 7 Pro kosten so viel wie die Vorgänger

    Googles Pixel-7-Smartphones kommen mit neuem Tensor-Chip, ansonsten ist die Hardware vertraut. Neuigkeiten gibt es bei der Software.

  3. Lochstreifenleser selbst gebaut: Lochstreifen für das 21. Jahrhundert
    Lochstreifenleser selbst gebaut
    Lochstreifen für das 21. Jahrhundert

    Früher wurden Daten auf Lochstreifen gespeichert - lesen kann man sie heute nicht mehr so leicht. Es sei denn, man verwendet Jürgen Müllers Lesegerät auf Arduino-Basis.
    Von Tobias Költzsch

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • MindStar (Gigabyte RTX 3090 Ti 1.099€, RTX 3070 539€) • Alternate (Team Group DDR4/DDR5-RAM u. SSD) • Günstig wie nie: MSI Curved 27" WQHD 165Hz 289€, Philips LED TV 55" Ambilight 549€, Inno3D RTX 3090 Ti 1.199€ • 3 Spiele für 49€ [Werbung]
    •  /