هشدار محققان درباره

آسیب‌پذیری در کتابخانه توییترکیت و در معرض خطر قرار گرفتن هزاران برنامه iOSی

محققان امنیتی به تازگی هشدار داده‌اند که یکی از کتابخانه‌های برنامه‌نویسی مرتبط با رابط‌‌ API توییتر که در حال حاضر توسط برنامه‌های محبوب آی‌اواس مورد استفاده قرار می‌گیرد، به دلیل وجود آسیب‌پذیری‌های اصلاح نشده، می‌تواند به‌عنوان بخشی از یک حمله مرد میانی (MITM) مورد سوءاستفاده قرار گیرد.

براساس گزارش‌های منتشر شده،‌ کتابخانه توییترکیت (TwitterKit) که با یکی از API‌های قدیمی توییتر کار می‌کند، دارای آسیب‌پذیری بوده که امکان پیاده‌سازی حملات فرد میانی را برای مهاجمان فراهم می‌سازد.

توییترکیت در حال حاضر تنها در کشور آلمان در بیش از ۲ هزار برنامه محبوب در سیستم عامل iOS مورد استفاده قرار گرفته و براساس برآوردهای محققان، بیش از ۱۰ هزار برنامه در سراسر جهان از آن استفاده می‌کنند.

برپایه اطلاعات موجود، شرکت توییتر این کتابخانه را در اکتبر سال ۲۰۱۸ منسوخ کرده و از توسعه‌دهندگان خواسته است که از کتابخانه‌های جایگزین استفاده کنند. با این حال این شرکت کد قدیمی آسیب‌پذیر را در گیت‌هاب و در دسترس برنامه‌نویسان رها کرده است.

محققان گفته‌اند که در ماه می ۲۰۱۹ درباره این حفره امنیتی به توییتر اطلاع داده‌اند، اما از آن‌جایی که این کتابخانه از قبل منسوخ شده بود این شرکت اصلاحیه‌ای برای آن ارائه نکرده و تنها رابط کاربردی برنامه‌نویسی (API) خود را با یک نسخه به‌روزرسانی شده جایگزین کرده است.

توییترکیت در برنامه‌های iOSی امکان ورود کاربران به برنامه‌های مختلف از طریق توکن‌های دسترسی حساب‌های کاربری توییتری را فراهم می‌سازد که با مشخص شدن آسیب‌پذیری آن، احتمال سوءاستفاده از آن بیشتر از همیشه پیش‌بینی می‌شود.

مهاجمان برای بهره‌برداری از این آسیب‌پذیری ابتدا باید کنترل یک اکسس پوینت (نقطه دسترسی) وای‌فای را به دست آورند. سپس هنگام ورود یک قربانی به شبکه بی‌سیم، مهاجم می‌تواند توکن OAuth (برای یک جلسه کاربر) را به دست آورد. روش کلی این حمله شامل یک حمله مجدد با استفاده از توکن OAuth برای ایجاد دسترسی به حساب اصلی توییتر، دیگر حساب‌ها و سرویس‌های شخص ثالث که از قابلیت «ورود با استفاده از حساب توییتر» را پشتیبانی می‌کنند است.

 

 

توضیحات بیشتر در:

- Vulnerable Twitter API Leaves Tens of Thousands of iOS Apps Open to Attacks