برای کارکرد بهتر وب‌سایت و بهبود تجربه کاربری شما با سرتفا، ما نیاز به اجرای سرویس تجزیه و تحلیل آماری داریم، آیا موافق این موضوع هستید؟

هشدار محققان درباره

آسیب‌پذیری در کتابخانه توییترکیت و در معرض خطر قرار گرفتن هزاران برنامه iOSی

محققان امنیتی به تازگی هشدار داده‌اند که یکی از کتابخانه‌های برنامه‌نویسی مرتبط با رابط‌‌ API توییتر که در حال حاضر توسط برنامه‌های محبوب آی‌اواس مورد استفاده قرار می‌گیرد، به دلیل وجود آسیب‌پذیری‌های اصلاح نشده، می‌تواند به‌عنوان بخشی از یک حمله مرد میانی (MITM) مورد سوءاستفاده قرار گیرد.


19 مهر 98 | 21:32
آسیب‌پذیری در کتابخانه توییترکیت و در معرض خطر قرار گرفتن هزاران برنامه iOSی

براساس گزارش‌های منتشر شده،‌ کتابخانه توییترکیت (TwitterKit) که با یکی از API‌های قدیمی توییتر کار می‌کند، دارای آسیب‌پذیری بوده که امکان پیاده‌سازی حملات فرد میانی را برای مهاجمان فراهم می‌سازد.

توییترکیت در حال حاضر تنها در کشور آلمان در بیش از ۲ هزار برنامه محبوب در سیستم عامل iOS مورد استفاده قرار گرفته و براساس برآوردهای محققان، بیش از ۱۰ هزار برنامه در سراسر جهان از آن استفاده می‌کنند.

برپایه اطلاعات موجود، شرکت توییتر این کتابخانه را در اکتبر سال ۲۰۱۸ منسوخ کرده و از توسعه‌دهندگان خواسته است که از کتابخانه‌های جایگزین استفاده کنند. با این حال این شرکت کد قدیمی آسیب‌پذیر را در گیت‌هاب و در دسترس برنامه‌نویسان رها کرده است.

محققان گفته‌اند که در ماه می ۲۰۱۹ درباره این حفره امنیتی به توییتر اطلاع داده‌اند، اما از آن‌جایی که این کتابخانه از قبل منسوخ شده بود این شرکت اصلاحیه‌ای برای آن ارائه نکرده و تنها رابط کاربردی برنامه‌نویسی (API) خود را با یک نسخه به‌روزرسانی شده جایگزین کرده است.

توییترکیت در برنامه‌های iOSی امکان ورود کاربران به برنامه‌های مختلف از طریق توکن‌های دسترسی حساب‌های کاربری توییتری را فراهم می‌سازد که با مشخص شدن آسیب‌پذیری آن، احتمال سوءاستفاده از آن بیشتر از همیشه پیش‌بینی می‌شود.

مهاجمان برای بهره‌برداری از این آسیب‌پذیری ابتدا باید کنترل یک اکسس پوینت (نقطه دسترسی) وای‌فای را به دست آورند. سپس هنگام ورود یک قربانی به شبکه بی‌سیم، مهاجم می‌تواند توکن OAuth (برای یک جلسه کاربر) را به دست آورد. روش کلی این حمله شامل یک حمله مجدد با استفاده از توکن OAuth برای ایجاد دسترسی به حساب اصلی توییتر، دیگر حساب‌ها و سرویس‌های شخص ثالث که از قابلیت «ورود با استفاده از حساب توییتر» را پشتیبانی می‌کنند است.

 

 

توضیحات بیشتر در:

- Vulnerable Twitter API Leaves Tens of Thousands of iOS Apps Open to Attacks

 

 

گروه خبر سرتفا

گروه خبر سرتفا

یکی از اهداف سرتفا، انتشار سریع اخبار مربوط به رویدادها و رخدادهای حوزه امنیت سایبری است. بر همین اساس، گروه خبر سرتفا پس انتخاب اخبار از منابع رسمی و معتبر خارجی، اقدام به ترجمه، ویرایش و ساده‌سازی خبر برای مخاطبان این حوزه می‌کند.