Twitter обнаружили, что проблема в безопасности Android могла открыть доступ к личным сообщениям пользователей. Системы на Android Oreo или Pie были уязвимы.

  • Twitter обнаружили уязвимость в безопасности Android, из-за которой пользователи могли открыть доступ к своим личным сообщениям.
  • Пользователи с Android Oreo и Pie были уязвимы.
  • Пока нет доказательств того, что злоумышленники использовали данную уязвимость.

Twitter обнаружили серьезную проблему в безопасности в своем приложении всего через несколько дней после того, как злоумышленники взломали подтвержденные аккаунты.

“Главная проблема в безопасности ОС Android”, обнаруженная в октябре 2018 года, позволяла злоумышленникам читать личные сообщения в Twitter на устройствах под управлением Android 8 (Oreo) или Android 9 (Pie). Злоумышленники могли использовать “вредоносное приложение” на устройстве, чтобы обойти разрешения Android и получить конфиденциальные данные.

По данным социальной сети, около 96% пользователей Twitter для Android уже установили соответствующее обновление безопасности для защиты. Чтобы обратиться к остальным пользователям, Twitter обновили свое приложение, добавив дополнительные меры защиты от внешних приложений. Разработчики также уведомят пользователей о необходимости обновления.

Twitter не нашли доказательств того, что какой-либо хакер использовал данную уязвимость, но разработчики стремятся предотвратить это в будущем. Это не повлияет на пользователей iOS или браузера.

Это не первый случай, когда Twitter обнаруживают уязвимости в безопасности, которые могут раскрыть конфиденциальную информацию. В декабре 2019 года исследователи обнаружили, что они могут раскрыть номера телефонов пользователей, а дыра, обнаруженная годом ранее, позволяет злоумышленникам управлять учетными записями пользователей из Великобритании. Однако характер последней ошибки, связанной с конкретным приложением, примечателен и относительно необычен.

Угроза не была опасной. Чтобы загрузить вредоносное приложение на устройство, хакерам нужно было либо обманом заставить пользователей установить приложение добровольно, либо использовать другую уязвимость, чтобы заставить приложение загрузиться. В обоих случаях устройство уже было бы взломано — это просто упростило бы получение данных от Twitter.

Однако все же важно, что уязвимость использовалась в течение долгого времени. Проблема также подчеркивает важность своевременного обновления Android. Примечательно, что 4% от всей пользовательской базы Androi оставались уязвимыми почти два года после того, как патч стал впервые доступен. Возможно, этот процент мог быть больше, если данные были собраны в прошлом году. Без своевременных обновлений старые проблемы могут оставаться на протяжении долгого времени.