Fraunhofer SIT Warnung – Gravierende iOS Sicherheitslücke TwitterKit

Fraunhofer SIT Warnung - Gravierende iOS Sicherheitslücke TwitterKit

Das TwitterKit für iOS 3.4.2, das zahlreiche Apps zur Kommunikation mit Twitter nutzen, hat gravierende Sicherheitslücken, die Identitätsdiebstahl, Account-Missbrauch sowie Datenverluste zur Folge haben können. Das haben Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt herausgefunden. Es handelt sich um eine End-of-life-Softwarebibliothek von Twitter, die nicht mehr aktualisiert wird, aber noch in Apps zum Einsatz kommt. App-Entwickler sind dringend dazu aufgerufen, den TwitterKit für iOS-App-Entwicklungen nicht mehr einzusetzen und in bestehenden Apps durch Alternativen zu ersetzen. Technische Details zur gefundenen Sicherheitslücke finden sich hier.

Die Softwarebibliothek TwitterKit für iOS 3.4.2 sowie dessen ältere Versionen werden in einigen beliebten Apps genutzt. Experten des Fraunhofer SIT haben einen Fehler in der Schnittstelle zu Twitter entdeckt, die das Twitter-SSL-Zertifikat nicht korrekt überprüft. Dadurch können Angreifer über eine man-in-the-middle-Attacke private Daten wie geschützte Tweets und Direktnachrichten des Twitternutzer-Accounts einsehen oder im Namen des Nutzers twittern, Tweets liken und retweeten. Darüber hinaus kann jede App angegriffen werden, die das schadhafte TwitterKit dafür nutzt, einen Login via Twitter anzubieten.

Die Sicherheitsforscher haben Deutschlands beliebteste 2000 iOS-Apps gescannt (laut App Store) und 45 betroffene Apps gefunden. Von den mehr als zwei Millionen Apps in Apples App Store sind demnach vermutlich viele Anwendungen unterschiedlichster Kategorien betroffen. Darüber hinaus ist der TwitterKit für iOS auch in anderen Entwickler-Frameworks eingebunden, wie Google Fabric. Apps, die mit Google Fabric geschrieben worden sind, können somit auch von der Sicherheitslücke betroffen sein.

Twitter stellt keinen Patch zur Verfügung

Die Fraunhofer-Experten haben Twitter unmittelbar vertraulich informiert. Daraufhin teilte Twitter mit, dass eine Schließung der Sicherheitslücke durch einen Patch nicht erfolgen wird, da der Support für den TwitterKit bereits Ende Oktober 2018 ausgelaufen ist. Die Twitter-eigene App Periscope ist jedoch mittlerweile gepatcht. Die Fraunhofer-Sicherheitsforscher wenden sich deshalb an alle App-Entwickler: „Wir wollen alle iOS-Entwickler dringend davor warnen, diese Softwarebibliothek zu nutzen oder im eigenen Code zu belassen. Das komplette TwitterKit ist unsicher“, sagt Dr. Jens Heider, Mobile-Security-Experte am Fraunhofer SIT. Twitter selbst nennt Alternativen zum hauseigenen TwitterKit unter folgendem Link:

Nutzer: Login mit Twitter nicht verwenden

Ob und wie Smartphonenutzer selbst betroffen sind, lässt sich nicht ohne Weiteres feststellen. iOS-App-Nutzern rät Jens Heider deshalb, einen Login mit Twitter, der in einer App angeboten wird, nicht zu nutzen, insbesondere nicht, wenn die Smartphonenutzer sich in einem öffentlichen WLAN befinden. Hier lassen sich die Schwachstellen besonders leicht ausnutzen.

Hinterlasse jetzt einen Kommentar

Kommentar hinterlassen

E-Mail Adresse wird nicht veröffentlicht.


*


Die aktuellsten telespiegel Nachrichten
KI-Phone – Telekom präsentiert Smartphone-Konzept ganz ohne Apps

KI-Phone

Telekom präsentiert Smartphone-Konzept ganz ohne Apps

Smartphones ohne Apps könnten die Zukunft sein. Auf der weltweit größten Mobilfunkmesse stellte die Telekom jetzt ein KI-Telefonkonzept vor, das über einen KI-Copiloten verfügt. Der sogenannte „magenta Concierge“ kann Befehle App-übergreifend ausführen, wodurch keine verschiedenen Apps mehr notwendig wären. […]

Digitale Medizin: Sind Patienten bereit für den Online-Termin beim Zahnarzt?

Digitale Medizin

Sind Patienten bereit für den Online-Termin beim Zahnarzt?

Die Digitalisierung in der Medizin kann ein sensibles Thema sein, insbesondere wenn Patienten unmittelbar von den Veränderungen betroffen sind. Anstelle des traditionellen Zahnarztbesuchs wird zunehmend die Videosprechstunde eingeführt. Doch stellt sich die Frage, ob Patienten schon bereit sind für den Online-Termin beim Arzt. […]

Digital Services Act – EU-Regelwerk nun vollständig in Kraft getreten

Digital Services Act

EU-Regelwerk nun vollständig in Kraft getreten

Seit wenigen Tagen ist der Digital Services Act vollständig rechtsverbindlich geworden. Das bedeutet, dass jetzt auch „kleinere“ Onlinedienste wie eBay, Vinted, Kleinanzeigen und Co. dem EU-Regelwerk unterliegen. Ziel ist es, innerhalb der Europäischen Union ein sichereres Online-Umfeld zu schaffen. […]

Die neuen Flaggschiffe sind da – Samsung Galaxy S24, S24+ & S24 Ultra

Die neuen Flaggschiffe sind da

Samsung Galaxy S24, S24+ & S24 Ultra

Die neuen Flaggschiff-Modelle S24, S24+ und S24 Ultra des südkoreanischen Herstellers Samsung kommen mit zahlreichen neuen KI-Funktionen. Diese ermöglichen beispielsweise das Überbrücken von Sprachbarrieren bei Anrufen und Chats. […]