Eine veraltete Twitter-Software sorgt für eine gravierende Twitter-Sicherheitslücke in rund 50 iOS-Anwendungen. Außerdem wurde bekannt, dass der Kurznachrichten-Dienst Telefonnummern und E-Mail-Adressen von Nutzern missbraucht hat, um Werbung auszuspielen.
Anwendungen, die noch den veralteten Software-Baustein Twitter Kit für iOS 3.4.2 verwenden, enthalten gravierende Sicherheitslücken. Das haben Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie (SIT) in Darmstadt herausgefunden.
Konkret soll es sich dabei um eine sogenannte End-Of-Life-Softwarebibliothek von Twitter handeln. Diese wird nicht mehr aktualisiert. Trotzdem kommt sie aber offenbar immer noch in einigen Apps zum Einsatz.
Twitter-Sicherheitslücke kann gravierende Folgen haben
Die Forscher sagen, unter den beliebtesten 2.000 Anwendungen aus dem Apple App Store seien 45 Apps, die solche Sicherheitslücken aufweisen.
Laut eigenen Informationen haben sie die Schwachstellen mit einem selbst entwickelten Testwerkzeug namens Appicaptor gefunden. Das Tool soll große Mengen Apps automatisch auf Sicherheitslücken scannen.
Die aufgedeckten Schwachstellen sollen demnach gravierende Folgen nach sich ziehen: Die Sicherheitsexperten sprechen von Identitätsdiebstahl, Account-Missbrauch und Datenverlusten.
Das bedeutet die Twitter-Sicherheitslücke für App-Entwickler und Nutzer
App-Entwickler sind nun dringend dazu aufgerufen, diesen Twitter Kit für iOS-App-Entwicklungen nicht mehr einzusetzen. In schon bestehenden Apps sollen sie den veralteten Baustein durch Alternativen ersetzen.
Technische Informationen zur Twitter-Sicherheitslücke teilt das SIT detailliert auch noch in einem Blog-Eintrag.
Nutzer sollen sich am besten erstmal nicht über andere iOS-Anwendungen bei Twitter anmelden – vor allem nicht, wenn sie sich in einem öffentlichen Wlan-Netzwerk befinden.
Angreifer sollen über eine sogenannte „Man In The Middle“-Attacke nämlich private Daten wie geschützte Tweets und Direktnachrichten abrufen oder im Namen des jeweiligen Nutzers twittern, Tweets liken und retweeten können.
Sie könnten sich unter gewissen Umständen also nahezu die volle Kontrolle über einen fremden Twitter-Account sichern. Je nachdem, wie prominent und aktiv ein Nutzer auf dem Kurznachrichten-Dienst unterwegs ist, kann das natürlich fatale Folgen haben.
Twitter missbraucht Telefonnummern und E-Mail-Adressen
Es stellt sich also die Frage, weshalb Twitter den veralteten Software-Baustein nicht deaktiviert oder App-Entwickler darauf hingewiesen hat, dass das Twitter Kit nicht länger Updates erhält. Der Fehler scheint zumindest beim Kurznachrichten-Dienst zu liegen.
Doch die aufgetauchte Twitter-Sicherheitslücke ist nicht der einzige Punkt, weshalb das Netzwerk gerade in der Kritik steht: Twitter soll nämlich auch Telefonnummern und E-Mail-Adressen von Nutzern verwendet haben, um personalisierte Werbung auszuspielen.
Das ist natürlich ohne die Zustimmung der Nutzer passiert. Diese hatten die Daten nämlich ursprünglich hinterlegt, um die sicherere Zwei-Faktor-Authentifizierung verwenden zu können.
Twitter gab den Fehler selbst zu
Immerhin räumte das Unternehmen aus San Francisco in einem öffentlichen Beitrag selbst ein, die Nutzerdaten zweckentfremdet zu haben. Es soll ein versehentlicher Fehler gewesen sein, den Twitter allerdings am 17. September 2019 entdeckt und behoben haben will.
Wie viele Nutzerdaten wie lange missbraucht wurden, ist nicht bekannt. Laut eigenen Angaben sollen aber keine Informationen mit externen Firmen geteilt worden sein.
Normalerweise funktioniert ausgespielte Werbung bei Twitter so: Firmen, die Werbung beim Kurznachrichten-Dienst schalten wollen, können Listen mit Kontaktdaten von ihren Kunden hochladen.
Diese Informationen dienen dazu, die Kunden bei Twitter gezielt ansprechen zu können. Twitter habe die von den Nutzern für Sicherheitszwecke hinterlegten Telefonnummern und E-Mail-Adressen mit diesen Listen abgeglichen. Und das hätte nicht passieren dürfen.
Auch interessant:
