TwitterKit: Veraltetes SDK macht iPhone-Apps verwundbar
Die Integration eines veralteten SDKs stellt eine gravierende Sicherheitslücke in beliebten iOS-Apps dar, warnen Sicherheitsforscher.
(Bild: dpa, Fabian Sommer)
- dpa
Zahlreiche Apps für iPhone und iPad mit Twitter-Anbindung enthalten gravierende Sicherheitslücken. Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt warnten vor Anwendungen, die noch das veraltete SDK TwitterKit für iOS 3.4.2 verwenden.
Die Sicherheitslücken könnten Identitätsdiebstahl, Account-Missbrauch sowie Datenverluste zur Folge haben. TwitterKit kann auch in anderen Entwickler-Frameworks eingebunden sein, warnen die Forscher – etwa Google Fabric.
Angreifer kann Twitter-Account übernehmen
Der aktuell entdeckte Fehler (CVE-2019-16263) betrifft die Schnittstelle zu Twitter, die das SSL-Zertifikat von Twitter nicht korrekt überprüft. Dadurch könnten sich Angreifer per Man-in-the-Middle-Angriff (MITM) in die Kommunikation einklinken und private Daten wie geschützte Tweets und Direktnachrichten des Twitter-Accounts einsehen oder im Namen des Nutzers twittern, Tweets liken und retweeten. "Darüber hinaus kann jede App angegriffen werden, die das schadhafte TwitterKit dafür nutzt, einen Login via Twitter anzubieten", warnen die Sicherheitsforscher.
Unter den beliebtesten 2000 iOS-Apps in Deutschland seien 45 Anwendungen betroffenen. Um welche Programme es sich konkret handelt, wollte das Forschungsinstitut nicht sagen. Man wolle nicht gegen das Prinzip der "verantwortungsvollen Enthüllung" (Responsible Disclosure) verstoßen. Bei diesem Prozess wird das von einer Sicherheitslücke betroffene Unternehmen zuerst informiert und bekommt Zeit, um das Problem zu beheben – als üblich gelten 60 Tage, also zwei Monate. Erst dann werden die Fehler öffentlich gemacht.
SDK wird von Twitter nicht mehr aktualisiert
Die Sicherheitsforscher raten, in Dritt-Apps angebotene Twitter-Logins vorerst nicht zu nutzen, vor allem nicht in öffentlichen WLANs. Twitter wird die Sicherheitslücke in dem SDK nicht mehr schließen, weil die technische Unterstützung für das TwitterKit vor einem Jahr ausgelaufen sei. Den Herstellern von iOS-Apps stünden seit geraumer Zeit Alternativen zum TwitterKit zur Verfügung. (lbe)
