iOS-Apps: Schwerwiegende Twitter-Sicherheitslücke entdeckt

3 Minuten
iOS-Nutzer, die sich in unterschiedlichen Apps mit ihrem Twitter-Login anmelden, sollten in Zukunft lieber darauf verzichten. Dank einer neu entdeckten Sicherheitslücke können Twitter selbst und Apps, die sich per Twitter-Login öffnen lassen, angegriffen werden. Einen Patch soll es dennoch nicht geben.
Bildquelle: Pixabay

Das TwitterKit für iOS 3.4.2 wird von unterschiedlichen Apps zur App-Verbindung mit Twitter genutzt. Sicher ist die Verbindung allerdings nicht, wie Experten des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt herausgefunden haben.

Ein Fehler in der Schnittstelle zu Twitter soll dafür sorgen, dass das Twitter-SSL-Zertifikat nicht richtig kontrolliert wird. Die Schwachstelle kann von einem Angreifer mithilfe einer sogenannten „man-in-the-middle-Attacke“ dazu genutzt werden, um Daten wie geschützte Tweets und Direktnachrichten einzusehen. Weiterhin können Angreifer auch den ganzen Account übernehmen und darüber twittern, liken und retweeten.

Auch andere Anwendungen sind betroffen

Twitter ist nicht die einzige Anwendung, die von dieser Sicherheitslücke betroffen ist. Laut Angaben der Sicherheitsforscher sind auch alle Apps angreifbar, die mithilfe des schadhaften TwitterKits ein Login via Twitter anbieten. Von 2.000 getesteten Anwendungen waren 45 unmittelbar betroffen. Zudem soll die Twitter-Software auch in anderen Programmiergerüst wie Google Fabric eingebunden sein. Damit entwickelte Apps sind somit unter Umständen ebenfalls nicht sicher.

Die Software wird nicht nachgebessert

Nach ihrer Entdeckung haben die Fraunhofer-Experten Twitter kontaktiert und über die Schwachstelle informiert. In einer Antwort an das Institut sagte Twitter jedoch, dass kein Patch zur Behebung des Fehlers geplant sei. Der Support für das TwitterKit sei bereits Ende Oktober 2018 ausgelaufen und werde nicht wieder aufgenommen.

Viele Anwendungen nutzten das Tool allerdings noch heute. Darum appelliert Dr. Jens Heider, Mobile-Security-Experte am Fraunhofer SIT: „Wir wollen alle iOS-Entwickler dringend davor warnen, diese Softwarebibliothek zu nutzen oder im eigenen Code zu belassen. Das komplette TwitterKit ist unsicher.“

Verbraucher können nicht viel machen

In diesem Fall können Nutzer nicht viel mehr machen, als vorsichtig zu sein. Es existiert nämlich keine Liste mit allen Anwendungen, die das TwitterKit nutzen. Darum sollten sich Verbraucher lieber vom Anmelden via Twitter-Login distanzieren – zumindest in Apps von Dritten. Abseits des aktuellen Falls sollten Nutzer darauf achten, stets die neusten Sicherheitsupdates von Android und iOS zu installieren. Bei Android-Geräten erscheinen diese im monatlichen Rhythmus, werden jedoch je nach Hersteller und Smartphone-Modell unregelmäßig verteilt. Der Hersteller Samsung hat darum eine Liste mit Informationen darüber bereitgestellt, wie oft das Unternehmen unterschiedliche Smasung-Handys mit Sicherheitsaktualisierungen versorgt.

Bei Apple findet alles im geschlossenen System statt. Updates fließen je nach Einstellung direkt bei Erscheinen auf das Gerät.

Deine Technik. Deine Meinung.

Und was sagst du?

Bitte gib Dein Kommentar ein!
Bitte gibt deinen Namen hier ein

geschützt durch reCAPTCHA Datenschutzerklärung - Nutzungsbedingungen

VERWANDTE ARTIKEL