Schwachstelle in der Twitter-App gibt Zugriff auf 17 Mio. Nummern frei

Von Tobias Rduch am 25.12.2019 10:00 Uhr
6 Kommentare
Die Android-App des Kurznachrichtendienstes Twitter enthält eine Sich­er­heits­lü­cke, die Rückschlüsse auf fremde Nutzerdaten ermöglicht. Jetzt ist es einem Sicherheitsforscher gelungen, die Telefonnummern von 17 Mil­lio­nen Twitter-Accounts über eine integrierte Funktion herauszufinden.

Wie der Sicherheitsforscher Ibrahim Balic gegenüber Techcrunch angibt, ist es möglich, Lis­ten mit generierten Telefonnummern an die Twitter-Server zu senden. Anschließend wer­den Nut­zer­da­ten zurückgesendet. Damit wird ein Kontakt-Feature realisiert. Nachdem ein Nutzer die Kontaktliste seines Smartphones hochgeladen hat, lässt sich herausfinden, wel­che Kon­tak­te schon unter welchem Nutzernamen bei Twitter angemeldet sind.

Während die Web-Version des Dienstes keine Angriffsfläche bietet, können über die Android-App theoretisch unbegrenzt viele Abfragen er­fol­gen. Obwohl die Kontakt-Funktion den Up­load von Listen im sequenziellen Format ver­wei­gert, ist es möglich, zufällige Nummern zu er­zeu­gen und hintereinander abzufragen. Ib­ra­him Balic hat mit Hilfe eines Skripts mehr als zwei Milliarden Telefonnummern erzeugt, die Rei­hen­fol­ge zufällig vertauscht und die Da­ten­sät­ze über die Twitter-App hochgeladen.

Nach zwei Monaten konnte der Sich­er­heits­for­scher 17 Millionen Nummern ihren jeweiligen Twitter-Accounts zuordnen. Hierzu zählen Konten, die in Israel, der Türkei, dem Iran, Grie­chen­land, Armenien, Frankreich und Deutschland registriert wurden. Über eine WhatsApp-Gruppe hat Ibrahim Balic einige Besitzer der zugeordneten Nummern vor der Lücke gewarnt. Erst am 20. Dezember hat Twitter damit begonnen, die Anfragen zu blockieren.

Twitter arbeitet an einem Patch

Inzwischen hat Twitter ein offizielles Statement zu der Sicherheitslücke abgegeben. Laut der Mit­tei­lung untersucht das Unternehmen den Bug derzeit aktiv, sodass die Schwachstelle bald geschlossen werden kann. Alle Ac­counts, mit denen die Telefonnummern ge­zielt über­prüft wur­den, sollen bereits gesperrt wor­den sein. Twitter möchte zukünftig wei­ter­hin dafür sor­gen, dass Konten, die le­dig­lich zum Ausnutzen der API gedacht sind, innerhalb eines kur­zen Zeit­raums entdeckt und wieder gelöscht werden.
whatsapp
Jede Woche neu: Top-News per E-Mail
6 Kommentare lesen & antworten
Verwandte Themen
Twitter Soziale Netzwerke
Desktop-Version anzeigen
Hoch © 2000 - 2020 WinFuture Impressum Datenschutz