Schwachstelle in der Twitter-App gibt Zugriff auf 17 Mio. Nummern frei
Die Android-App des Kurznachrichtendienstes Twitter enthält eine Sicherheitslücke, die Rückschlüsse auf fremde Nutzerdaten ermöglicht. Jetzt ist es einem Sicherheitsforscher gelungen, die Telefonnummern von 17 Millionen Twitter-Accounts über eine integrierte Funktion herauszufinden.
Wie der Sicherheitsforscher Ibrahim Balic gegenüber Techcrunch angibt, ist es möglich, Listen mit generierten Telefonnummern an die Twitter-Server zu senden. Anschließend werden Nutzerdaten zurückgesendet. Damit wird ein Kontakt-Feature realisiert. Nachdem ein Nutzer die Kontaktliste seines Smartphones hochgeladen hat, lässt sich herausfinden, welche Kontakte schon unter welchem Nutzernamen bei Twitter angemeldet sind.
Während die Web-Version des Dienstes keine Angriffsfläche bietet, können über die Android-App theoretisch unbegrenzt viele Abfragen erfolgen. Obwohl die Kontakt-Funktion den Upload von Listen im sequenziellen Format verweigert, ist es möglich, zufällige Nummern zu erzeugen und hintereinander abzufragen. Ibrahim Balic hat mit Hilfe eines Skripts mehr als zwei Milliarden Telefonnummern erzeugt, die Reihenfolge zufällig vertauscht und die Datensätze über die Twitter-App hochgeladen.
Nach zwei Monaten konnte der Sicherheitsforscher 17 Millionen Nummern ihren jeweiligen Twitter-Accounts zuordnen. Hierzu zählen Konten, die in Israel, der Türkei, dem Iran, Griechenland, Armenien, Frankreich und Deutschland registriert wurden. Über eine WhatsApp-Gruppe hat Ibrahim Balic einige Besitzer der zugeordneten Nummern vor der Lücke gewarnt. Erst am 20. Dezember hat Twitter damit begonnen, die Anfragen zu blockieren.
Während die Web-Version des Dienstes keine Angriffsfläche bietet, können über die Android-App theoretisch unbegrenzt viele Abfragen erfolgen. Obwohl die Kontakt-Funktion den Upload von Listen im sequenziellen Format verweigert, ist es möglich, zufällige Nummern zu erzeugen und hintereinander abzufragen. Ibrahim Balic hat mit Hilfe eines Skripts mehr als zwei Milliarden Telefonnummern erzeugt, die Reihenfolge zufällig vertauscht und die Datensätze über die Twitter-App hochgeladen.
Nach zwei Monaten konnte der Sicherheitsforscher 17 Millionen Nummern ihren jeweiligen Twitter-Accounts zuordnen. Hierzu zählen Konten, die in Israel, der Türkei, dem Iran, Griechenland, Armenien, Frankreich und Deutschland registriert wurden. Über eine WhatsApp-Gruppe hat Ibrahim Balic einige Besitzer der zugeordneten Nummern vor der Lücke gewarnt. Erst am 20. Dezember hat Twitter damit begonnen, die Anfragen zu blockieren.
Twitter arbeitet an einem Patch
Inzwischen hat Twitter ein offizielles Statement zu der Sicherheitslücke abgegeben. Laut der Mitteilung untersucht das Unternehmen den Bug derzeit aktiv, sodass die Schwachstelle bald geschlossen werden kann. Alle Accounts, mit denen die Telefonnummern gezielt überprüft wurden, sollen bereits gesperrt worden sein. Twitter möchte zukünftig weiterhin dafür sorgen, dass Konten, die lediglich zum Ausnutzen der API gedacht sind, innerhalb eines kurzen Zeitraums entdeckt und wieder gelöscht werden.
Thema:
Beiträge aus dem Forum
Interessante Links
Neue Nachrichten
- 1 Billion Dollar: Südkorea startet Tech-Investitionen der Superlative
- WM im Ausland streamen: So schützt dich ExpressVPN im Urlaub
- Es werde Licht: Startup erzeugt erstmals direkt Strom aus Kernfusion
- Android-Update: Google verteilt praktische neue Backup-Features
- In aller Stille: Programmier-KI lädt Angreifer auf den PC des Opfers ein
- Notebooksbilliger: Angebote der Woche stark reduziert
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen