API vulnerável do Twitter deixa dezenas de milhares de aplicativos iOS abertos para ataques

Views: 641
1 0
Read Time:4 Minute, 24 Second

Milhões de usuários do iOS podem estar vulneráveis ​​a ataques intermediários que remontam ao código defeituoso do Twitter usado em aplicativos populares do iPhone.

Os pesquisadores estão avisando que uma antiga API do Twitter ainda é usada por aplicativos móveis iOS populares que podem ser abusados ​​como parte de um ataque do tipo intermediário. Ele pode ser usado para seqüestrar contas do Twitter e comprometer outros aplicativos de terceiros vinculados ao mesmo recurso “login com Twitter”.

De acordo com pesquisadores da Fraunhofer SIT, sediada na Alemanha, o culpado é uma biblioteca defeituosa do TwitterKit que foi substituída pelo Twitter há cerca de um ano. No entanto, uma análise dos 2.000 aplicativos móveis iOS alemães mais populares revelou que o código ruim ainda está sendo usado por 45 aplicativos e impactando milhões de usuários alemães.

Em todo o mundo, o número de aplicativos que rodam a estrutura de bugs do Kit Twitter pode estar mais próximo de dezenas de milhares, disseram os pesquisadores. A falha, rastreada como CVE-2019-16263 , é descrita como um bug na “estrutura do Kit Twitter até 3.4.2 para iOS não valida corretamente o certificado SSL api.twitter.com. Embora a cadeia de certificados deva conter um de um conjunto de certificados fixados, existem certos erros de implementação, como falta de verificação de nome de host.

O Twitter descontinuou o código da biblioteca do Kit do Twitter em outubro de 2018 . Na época, pediu aos desenvolvedores que mudassem para bibliotecas alternativas. No entanto, deixou o código antigo em seu repositório GitHub sem indicação para os usuários de que o código poderia ser usado em ataques, disse Jens Heider, chefe de segurança móvel do Fraunhofer SIT.

“A biblioteca do Twitter GitHub ainda contém o código malicioso”, disse Heider ao Threatpost. “Estamos preocupados porque, como os aplicativos que usam o código parecem estar funcionando bem, os desenvolvedores deixarão de atualizar seus aplicativos para uma biblioteca segura do Twitter”.

Embora não selecione aplicativos específicos por nome, Heider disse que os aplicativos afetados incluem leitores de notícias e muitos outros serviços ou aplicativos que permitem que um usuário efetue login por meio do token de acesso do Twitter: “Se um invasor conseguir obter acesso ao token OAuth (Twitter), eles podem usá-lo para postar na conta de destino do Twitter, ler mensagens privadas passadas e curtir e retuitar os tweets de outros usuários. ”

O problema decorre da maneira como o TwitterKit para iOS verifica os certificados recebidos para garantir que eles tenham uma chave pública correspondente. O TwitterKit é um kit de desenvolvedores de software de código aberto (SDK) usado por aplicativos móveis para exibir tweets, autorizar usuários do Twitter e vincular à API do Twitter, de acordo com o Twitter .

“Eles queriam aumentar a segurança implementando uma fixação de chave pública de autoridades de certificação raiz (CA) confiáveis, como VeriSign, DigiCert e GeoTrust. Então, eles criaram [uma] matriz com entradas de 21 hashes de chave pública para as CAs ” , escreveram os pesquisadores em uma análise detalhada de suas pesquisas.

Eles explicaram que o nome de domínio do certificado em folha não é verificado pelo iOS. Como não foi verificado, qualquer certificado válido (dos 21) com um hash de chave pública é aceito pelo aplicativo vulnerável.

“Um invasor com um certificado válido para seu próprio domínio, emitido por uma dessas CAs, pode usar esse certificado para ataques intermediários a aplicativos que se comunicam por meio do Twitter Kit para iOS com api.twitter.com” escreveram os pesquisadores.

Heider disse que o invasor pode aproveitar esse bug para usar os tokens do Twitter OAuth para acessar serviços de terceiros que suportam a estrutura de token do Twitter OAuth. OAuth é um padrão aberto usado como uma maneira de conceder sites ou aplicativos acesso a dados em outros sites sem fornecer a eles as senhas.

Os pesquisadores disseram que entraram em contato com o Twitter em maio de 2019, notificando-os sobre a API vulnerável. “O Twitter reconheceu a descoberta, mas como a biblioteca já estava obsoleta, ela não forneceu uma solução”, disse Heider. Em vez disso, o Twitter substituiu o código da API do Twitter por uma versão atualizada.

“Gostaríamos de ter visto alguma comunicação sobre as falhas nesta biblioteca usadas por tantas aplicações”, disse ele.

O Twitter não respondeu a um pedido de comentário para esta história.

Para explorar a vulnerabilidade, disseram os pesquisadores, primeiro um adversário precisa assumir o controle de um ponto de acesso Wi-Fi. Em seguida, uma vítima faria login na rede sem fio desonesta e, em seguida, o invasor poderia capturar o token OAuth do Twitter para uma sessão do usuário.

O cenário de ataque inclui um ataque de repetição usando o token OAuth do Twitter para obter acesso à conta principal do Twitter e também a outras contas e serviços de terceiros que suportam o recurso “login com Twitter”.

“Tais problemas são … comuns, o que ilustra a necessidade de verificar se há códigos de terceiros vulneráveis ​​ou desatualizados”, escreveu Fraunhofer SIT.

Pesquisadores apresentarão formalmente seu trabalho na conferência de segurança  it-sa 2019  em Nuremberg, Alemanha, na terça-feira.

FONTE: https://threatpost.com/vulnerable-twitter-api-leaves-millions-open-to-attack/148945/

POSTS RELACIONADOS