Het Twitter-ontwikkelingsteam heeft aangekondigd dat ze onlangs een ernstig beveiligingsprobleem in hun Android-client hebben ontdekt en opgelost. Ze zijn erachter gekomen dat aanvallers een kwaadaardige app hadden kunnen gebruiken om privé Twitter-gegevens op te zoeken met de machtigingen van het Android-systeem. Blijkbaar lag de belangrijkste fout in de manier waarop het Android-besturingssysteem is ontworpen en beïnvloedt voornamelijk de OS-versie 8 en 9.
Twitter repareert hun Android-versie nadat de hackmethode voor kritieke gegevenslekkage was ontdekt
De Twitter-beveiliging heeft bezoekers van de site die de Android-client hebben geïnstalleerd, gewaarschuwd voor een nieuw beveiligingsprobleem dat is gedetecteerd. Volgens hun publieke aankondiging de fout treft vooral Android 8 en 9 en het grootste deel van Twitter-Android-gebruikers hebben hun apparaten al gepatcht om zichzelf te beschermen. De onderliggende zwakte werd geïdentificeerd in het mobiele Android-besturingssysteem zelf — een probleem waardoor aanvallers een schadelijke app die op het lokale apparaat was geïnstalleerd, konden programmeren kaping gevoelige Twitter-gegevens. De manier waarop Android werkt, is door de gevraagde informatie op te geven volgens de machtigingsniveaus die door het systeem aan een bepaalde app zijn verleend. Het lijkt erop dat de potentiële aanvallers sommige beveiligingscontroles hadden kunnen omzeilen en een speciaal geprogrammeerde malware-app daarvoor toestemming hadden gegeven. Wat we weten is dat dit mogelijk kan werken met directe berichten.
Op dit moment zijn er geen gevallen van misbruik gemeld. Gezien de potentieel enorme impact van een scenario wanneer de Twitter-client wordt misbruikt, heeft het bedrijf echter heeft een bijgewerkte Android-client uitgebracht via de Google Play Store die secundaire veiligheidsmaatregelen toevoegt. Gebruikers die mogelijk worden beïnvloed, moeten updaten naar de nieuwste versie. Daarnaast worden in-app-kennisgevingen aan hen verstrekt. Twitter voor iOS wordt niet beïnvloed omdat de machtigingsniveaus op een andere manier worden beheerd.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: