Zum Inhalt springen

Impuls Deutschland

Deutschland Nachrichten und Infos

Menü
  • Startseite
  • Impressum
  • Datenschutz
Startseite
Allgemein
Gravierende Sicherheitslücken in TwitterKit für iOS

Gravierende Sicherheitslücken in TwitterKit für iOS

Von PM-Ersteller Dienstag, 08.10.2019 Allgemein Keine Kommentare

Fraunhofer SIT warnt Entwickler: TwitterKit für iOS nicht mehr benutzen und austauschen

BildDas TwitterKit für iOS 3.4.2, das zahlreiche Apps zur Kommunikation mit Twitter nutzen, hat gravierende Sicherheitslücken, die Identitätsdiebstahl, Account-Missbrauch sowie Datenverluste zur Folge haben können. Das haben Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt herausgefunden. Es handelt sich um eine End-of-life-Softwarebibliothek von Twitter, die nicht mehr aktualisiert wird, aber noch in Apps zum Einsatz kommt. App-Entwickler sind dringend dazu aufgerufen, den TwitterKit für iOS-App-Entwicklungen nicht mehr einzusetzen und in bestehenden Apps durch Alternativen zu ersetzen. Technische Details zur gefundenen Sicherheitslücke finden sich hier: www.sit.fraunhofer.de/cve.

Die Softwarebibliothek TwitterKit für iOS 3.4.2 sowie dessen ältere Versionen werden in einigen beliebten Apps genutzt. Experten des Fraunhofer SIT haben einen Fehler in der Schnittstelle zu Twitter entdeckt, die das Twitter-SSL-Zertifikat nicht korrekt überprüft. Dadurch können Angreifer über eine man-in-the-middle-Attacke private Daten wie geschützte Tweets und Direktnachrichten des Twitternutzer-Accounts einsehen oder im Namen des Nutzers twittern, Tweets liken und retweeten. Darüber hinaus kann jede App angegriffen werden, die das schadhafte TwitterKit dafür nutzt, einen Login via Twitter anzubieten.

Die Sicherheitsforscher des Fraunhofer SIT haben Deutschlands beliebteste 2000 iOS-Apps gescannt (laut App Store) und 45 betroffene Apps gefunden. Von den mehr als zwei Millionen Apps in Apples App Store sind demnach vermutlich viele Anwendungen unterschiedlichster Kategorien betroffen. Darüber hinaus ist der TwitterKit für iOS auch in anderen Entwickler-Frameworks eingebunden, wie Google Fabric. Apps, die mit Google Fabric geschrieben worden sind, können somit auch von der Sicherheitslücke betroffen sein. Mehr technische Details zur Schwachstelle finden sich hier: www.sit.fraunhofer.de/cve.

Twitter stellt keinen Patch zur Verfügung

Die Fraunhofer-Experten haben Twitter unmittelbar vertraulich informiert. Daraufhin teilte Twitter mit, dass eine Schließung der Sicherheitslücke durch einen Patch nicht erfolgen wird, da der Support für den TwitterKit bereits Ende Oktober 2018 ausgelaufen ist. Die Twitter-eigene App Periscope ist jedoch mittlerweile gepatcht. Die Fraunhofer-Sicherheitsforscher wenden sich deshalb an alle App-Entwickler: „Wir wollen alle iOS-Entwickler dringend davor warnen, diese Softwarebibliothek zu nutzen oder im eigenen Code zu belassen. Das komplette TwitterKit ist unsicher“, sagt Dr. Jens Heider, Mobile-Security-Experte am Fraunhofer SIT. Twitter selbst nennt Alternativen zum hauseigenen TwitterKit unter folgendem Link: https://blog.twitter.com/developer/en_us/topics/tools/2018/discontinuing-support-for-twitter-kit-sdk.html

Nutzer: Login mit Twitter nicht verwenden

Ob und wie Smartphonenutzer selbst betroffen sind, lässt sich nicht ohne Weiteres feststellen. iOS-App-Nutzern rät Jens Heider deshalb, einen Login mit Twitter, der in einer App angeboten wird, nicht zu nutzen, insbesondere nicht, wenn die Smartphonenutzer sich in einem öffentlichen WLAN befinden. Hier lassen sich die Schwachstellen besonders leicht ausnutzen.

Die Sicherheitsexperten des Fraunhofer SIT haben die Schwachstelle im TwitterKit mithilfe des selbst entwickelten Testwerkzeugs Appicaptor gefunden. Auf der Security-Messe it-sa in Nürnberg vom 8. bis 10. Oktober stellt das Fraunhofer SIT-Team die Erkenntnisse und das Tool vor, das große Mengen Apps automatisiert auf Sicherheitslücken hin scannen kann. Mehr Informationen zum Messeauftritt des Fraunhofer SIT finden sich unter www.sit.fraunhofer.de/itsa2019.

Verantwortlicher für diese Pressemitteilung:

Fraunhofer-Institut für Sichere Informationstechnologie
Herr Oliver Küch
Rheinstraße 75
64295 Darmstadt
Deutschland

fon ..: +49 6151 869-213
web ..: https://www.sit.fraunhofer.de
email : oliver.kuech@sit.fraunhofer.de

Die Fraunhofer-Gesellschaft ist die führende Organisation für angewandte Forschung in Europa. Unter ihrem Dach arbeiten 67 Institute und Forschungseinrichtungen an Standorten in ganz Deutschland. 24.000 Mitarbeiterinnen und Mitarbeiter bearbeiten das jährliche Forschungsvolumen von mehr als 2,1 Milliarden Euro. Davon fallen über 1,8 Milliarden Euro auf den Leistungsbereich Vertragsforschung. Über 70 Prozent dieses Leistungsbereichs erwirtschaftet die Fraunhofer-Gesellschaft mit Aufträgen aus der Industrie und mit öffentlich finanzierten Forschungsprojekten. Die internationale Zusammenarbeit wird durch Niederlassungen in Europa, Nord- und Südamerika sowie Asien gefördert.

Pressekontakt:

Fraunhofer-Institut für Sichere Informationstechnologie
Herr Oliver Küch
Rheinstraße 75
64295 Darmstadt

fon ..: +49 6151 869-213
web ..: https://www.sit.fraunhofer.de
email : oliver.kuech@sit.fraunhofer.de

Post Views: 213
Schlagwörter:Apples App Store, apps, Cybersecurity, Developer, Fraunhofer SIT, Internetsicherheit, iOS, IT-Security, its-sa 2019, Social Media, Software, Software Entwickler, twitter, Twitter Account, TwitterKit

Neueste Beiträge

  • Frühling ohne Dogma: Warum wir die Tagundnachtgleiche feiern sollten – und nicht Ostern
  • Sonne tanken mit Verstand: Das Solar-Lexikon von Michael Gatzke im Überblick
  • Wirtschaftswunder 2.0: Deutschland schuldenfrei – EZB spricht von „monetärer Selbstreinigung“
  • Die stille Revolution: Wie ChatGPT Search die Websuche verändert
  • Sondervermögen als Investition in die Zukunft: Finanzpolitische Weichenstellung für wirtschaftliches Wachstum

Archive

  • April 2025
  • März 2025
  • Januar 2025
  • Dezember 2024
  • August 2022
  • Juni 2022
  • Mai 2022
  • April 2022
  • März 2022
  • Februar 2022
  • Januar 2022
  • Dezember 2021
  • November 2021
  • Oktober 2021
  • September 2021
  • August 2021
  • Juli 2021
  • Juni 2021
  • Mai 2021
  • April 2021
  • März 2021
  • Februar 2021
  • Januar 2021
  • Dezember 2020
  • November 2020
  • Oktober 2020
  • September 2020
  • August 2020
  • Juli 2020
  • Juni 2020
  • Mai 2020
  • April 2020
  • März 2020
  • Februar 2020
  • Januar 2020
  • Dezember 2019
  • November 2019
  • Oktober 2019
  • September 2019
  • August 2019
  • Juli 2019
  • Juni 2019
  • Mai 2019
  • April 2019
  • März 2019
  • Februar 2019
  • Januar 2019
  • Dezember 2018
  • November 2018
  • Oktober 2018
  • September 2018
  • August 2018
  • Mai 2018
  • März 2018
  • Februar 2018
  • Dezember 2017
  • Oktober 2017
  • September 2017
  • August 2017
  • Juni 2017
  • April 2017
  • März 2017
  • Februar 2017
  • Januar 2017
  • Dezember 2016
  • September 2016
  • August 2016
  • Juli 2016
  • Juni 2016
  • Januar 2016
  • Dezember 2015
  • September 2015
  • August 2015
  • Juli 2015
  • Juni 2015
  • Mai 2015
  • April 2015
  • März 2015
  • Februar 2015
  • Januar 2015
  • Dezember 2014
  • November 2014
  • Oktober 2014
  • September 2014
  • August 2014
  • Juli 2014
  • Juni 2014
  • Mai 2014
  • April 2014
  • März 2014
  • Februar 2014
  • Januar 2014
  • Dezember 2013
  • November 2013
  • Oktober 2013
  • September 2013
  • April 2011
  • 0
© 2025 Impuls Deutschland
nach oben ↑
Diese Website benutzt Cookies. Wenn du die Website weiter nutzt, gehen wir von deinem Einverständnis aus.OK