В Twitter обнаружили уязвимость, которая поставила под угрозу безопасность тысячи приложений. Проблема описана экспертами немецкой компании Fraunhofer SIT в их блоге.
По данным специалистов, устаревший API-интерфейс популярной соцсети, содержащий уязвимость, до сих пор используют многие iOS-приложения для авторизации через Twitter. В результате злоумышленник может заполучить доступ и выполнять действия в соцсети от имени жертвы, в том числе делать публикации.
Эксперты подчеркнули, что этот способ не даст доступ к паролю от аккаунта, но также жертва не сможет прервать публикации и другие действия от лица злоумышленника даже после смены пароля своего профиля. Для возвращения контроля над аккаунтом понадобятся дополнительные действия.
В Fraunhofer SIT заметили, что многие приложения все еще используют ее для авторизации, в связи с чем пользователям может грозить реальная опасность. По их оценкам, уязвимость угрожает безопасности тысяч приложений. Проверка двух тысяч самых популярных программ у немецких юзеров выявила 45 приложений, которыми опасно пользоваться с аккаунтом в Twitter.
Проблема была подтверждена Twitter в июле 2019 года. Однако компания не планирует выпускать исправление, так как устаревший Twitter Kit, который и имеет уязвимость, перестал официально поддерживаться в конце октября 2018 года.
В мае 2017 года сообщалось о похожей уязвимости в Twitter. Тогда российская компания Digital Security обнаружила брешь, позволяющую публиковать твиты от имени любого пользователя без доступа к самому аккаунту. Twitter устранил ее через двое суток, а саму проблему не стали описывать в целях безопасности.