يمكن لملايين مستخدمي iOS أن يكونوا عرضة للهجمات غير المباشرة التي تعود إلى رمز Twitter المعيب المستخدم في تطبيقات iPhone الشهيرة.
يحذر الباحثون من أن واجهة برمجة تطبيقات Twitter القديمة لا تزال تستخدم من قبل تطبيقات iOS للهواتف المحمولة الشائعة والتي يمكن إساءة استخدامها كجزء من هجوم “رجل في الوسط”. يمكن استخدامه لاختطاف حسابات Twitter وعرقلة تطبيقات الجهات الخارجية الأخرى المرتبطة بميزة “تسجيل الدخول عبر Twitter” نفسها.
وفقًا للباحثين في Fraunhofer SIT ومقرها ألمانيا، فإن الجاني هو مكتبة TwitterKit التي بها عيوب والتي تم استبدالها بـ Twitter قبل نحو عام. ومع ذلك، كشفت مراجعة لأكثر من 2000 تطبيق لتطبيقات iOS الألمانية الأكثر شيوعًا أن الشفرة السيئة هي قيد الاستخدام من قبل 45 تطبيقًا وتؤثر على ملايين المستخدمين الألمان.
تم وصف الخلل، الذي تم تتبعه على أنه CVE-2019-16263 ، بأنه خطأ في إطار Twitter Kit لنظام التشغيل iOS لا يتحقق بشكل صحيح من شهادة api.twitter.com SSL. على الرغم من أن سلسلة الشهادة يجب أن تحتوي على مجموعة من الشهادات المثبتة. إلا أن هناك بعض الأخطاء في التنفيذ مثل عدم التحقق من اسم المضيف.
ألغى Twitter كود مكتبة Twitter Kit في أكتوبر 2018. في ذلك الوقت، طلب من المطورين التحول إلى مكتبات بديلة. ومع ذلك، فقد ترك رمزًا قديمًا في مستودع GitHub الخاص به دون أي إشارة للمستخدمين يمكن استخدام الكود في الهجمات، كما قال Jens Heider، رئيس أمن الأجهزة المحمولة لدى Fraunhofer SIT.
وقال Heider لـ Threatpost : “لا تزال مكتبة Twitter GitHub تحتوي على الشفرة الخبيثة. نشعر بالقلق لأنه نظرًا لأن التطبيقات التي تستخدم الشفرة تبدو ظاهريا جيدة، لكن أغلب المطورين سيهملون تحديث تطبيقاتهم إلى مكتبة Twitter آمنة”.
على الرغم من عدم تمييز تطبيقات محددة بالاسم، قال Heider إن التطبيقات المتأثرة تشمل أجهزة قراءة الأخبار والعديد من الخدمات أو التطبيقات الأخرى التي تسمح للمستخدم بتسجيل الدخول عبر رمز الوصول إلى Twitter الخاص به : “إذا كان المهاجم قادرًا على الوصول إلى رمز (OAuth) على Twitter، يمكن استخدامها لنشر حساب Twitter على الأهداف وقراءة الرسائل الخاصة الماضية وإعجاب تغريدات المستخدمين الآخرين وإعادة تغريدها.”
ووفقًا لموقع Twitter : باعتبار TwitterKit هي مجموعة من مطوري البرامج (SDK) مفتوحة المصدر تستخدمها تطبيقات الجوال لعرض التغريدات، وتفويض مستخدمي Twitter والربط بواجهة برمجة تطبيقات Twitter، فإن المشكلة تنبع من الطريقة التي يتحقق بها TwitterKit لنظام التشغيل iOS من الشهادات المستلمة لضمان حصولهم على مفتاح عمومي مطابق.
لقد أرادوا زيادة الأمان من خلال تطبيق تثبيت المفتاح العمومي لمراجع شهادات الجذر الموثوقة (CA) مثل VeriSign و DigiCert و GeoTrust. وكتب الباحثون في تفصيل لأبحاثهم، لذلك قاموا بإنشاء [مجموعة] تحتوي على مدخلات تحتوي على 21 علامة تجزئة للمفتاح العمومي للمراجع المصدقة.
وقال الباحثون كذلك إنهم اتصلوا بـ Twitter في مايو 2019، لإبلاغهم بواجهة برمجة التطبيقات الضعيفة. وقال Heider : “لقد أقر موقع Twitter بالنتيجة، ولكن نظرًا لأنه تم إهمال المكتبة بالفعل، فإنها لم تقدم أي حل”.
المصدر : threatpost