Уразливість може бути проексплуатовано для зламу облікових записів у Twitter і компрометації інших додатків.
Співробітники дослідницького інституту Fraunhofer-Institut für Sichere Informationstechnologie (Німеччина) попередили про уразливість в старому коді API Twitter, який як і раніше використовується популярними мобільними iOS-додатками. Уразливість може бути проексплуатовано для зламу облікових записів Twitter і компрометації інших додатків з функцією “увійти в систему за допомогою Twitter”.
Проблема полягає в бібліотеці TwitterKit, яка була замінена Twitter близько року тому. Перевірка 2000 найпопулярніших німецьких мобільних додатків для iOS виявила вразливий код у 45 з них, зачіпаючи мільйони користувачів у Німеччині. За словами дослідників, кількість вразливих додатків в світі може досягати десятків тисяч. До уразливих додатків відносяться програми для читання новин, а також інші сервіси і додатки, які дозволяють авторизуватися через токен доступу Twitter.
Уразливість CVE-2019-16263 в випусках TwitterKit 3.4.2 і нижче для iOS викликана некоректною перевіркою достовірності TSL-сертифіката api.twitter.com. Хоча ланцюжок сертифікатів повинен містити один із закріплених сертифікатів, існують певні помилки реалізації, такі як відсутність перевірки імені хоста. Для експлуатації уразливості зловмисникові спочатку необхідно перехопити контроль над точкою доступу Wi-Fi. Як тільки жертва увійде в скомпрометовану бездротову мережу, зловмисник зможе отримати токен Twitter OAuth користувача.
Twitter відмовилася від бібліотеки Twitter Kit у жовтні 2018 року і попросила розробників перейти на альтернативні бібліотеки. Тим не менш, компанія залишила старий код в своєму сховищі на GitHub без попередження про його небезпеку. Дослідники повідомили компанії про уразливість в API ще в травні 2019 року. Twitter підтвердила наявність уразливості, однак випускати патч для непідтримуваної бібліотеки не стала. Замість цього компанія замінила код API оновленою версією.
Нагадаємо, розробники WhatsApp тестують функцію повідомлень. що зникають. Вона вже доступна в бета-версії месенджера для Android всім, хто бере участь у програмі попереднього тестування
Масштабний сервіс для масової розсилки електронних повідомлень викрили працівники кіберполіції. Ресурс використовувався для створення бот-ферм, розсилки спамових повідомлень та реєстрацій електронної пошти, з яких здійснювалися анонімні повідомлення про замінування.
Також команда фахівців компанії OPPO ZIWU Cyber Security Lab, Китайського університету Гонконгу та Сінгапурського університету управління виявили множинні уразливості в компонентах VoIP операційної системи Android.
Зауважте, що на iPhone з версією iOS 8 перестане працювати WhatsApp. Тому, щоб користуватися месенджером і надалі, Вам потрібно мати версію iOS 9 або новіше.
До речі, в Windows передбачений вбудований інструмент для шифрування під назвою BitLocker, проте він за замовчуванням довіряє стороннім SSD-накопичувачів, в яких реалізовано власне шифрування на апаратному рівні. Проте, з останнім оновленням Windows 10 операційна система перестане довіряти стороннім SSD-накопичувачам і буде сприймати їх як такі, що не використовують шифрування.
