0

  • Votre panier est vide.

  • COMPTE

Faille de l’application Twitter Android qui permettait d’exploiter les numéros de téléphone correspondants

Certains articles de veille peuvent faire l'objet de traduction automatique.

Vers la fin de 2019, un chercheur a découvert une grave faille dans l’application Twitter pour Android. Le bogue permettait de faire correspondre des numéros de téléphone aléatoires avec les comptes des utilisateurs. Maintenant, Twitter a révélé l’exploitation de la faille par certains comptes.

Exploitation de Twitter pour la faille de l’application Android

En décembre 2019, un chercheur a découvert une faille de sécurité dans la fonction de téléchargement de contacts de l’application Twitter pour Android. L’exploitation du bogue a permis à un attaquant de faire correspondre une liste aléatoire de numéros de téléphone avec 17 millions de comptes d’utilisateurs en deux mois.

Récemment, Twitter a non seulement confirmé l’existence du bogue, mais a également révélé son exploitation. Comme indiqué dans leur Publier,

Nous avons découvert des comptes supplémentaires qui, selon nous, pourraient avoir exploité ce même point de terminaison d’API au-delà de son cas d’utilisation prévu.

Cela inclut l’exploitation potentiellement malveillante en temps réel de la faille au-delà du chercheur qui l’a signalée le premier. En bref, Twitter a trouvé un grand nombre d’utilisateurs dans différents pays impliqués dans l’exploitation du bogue. Cependant, ils ont constaté une exploitation particulièrement élevée dans certaines régions.

Nous avons observé un volume particulièrement élevé de demandes provenant d’adresses IP individuelles situées en Iran, en Israël et en Malaisie. Il est possible que certaines de ces adresses IP aient des liens avec des acteurs parrainés par l’État.

Twitter a confirmé les correctifs

Dans leur avis, ils ont confirmé que la faille affectait les comptes qui ont activé l’option «Permettre aux personnes qui ont votre numéro de téléphone de vous trouver sur Twitter». Alors que les autres comptes sont restés en sécurité. Cette fonctionnalité visait notamment à aider les nouveaux utilisateurs de Twitter à retrouver leurs connaissances sur Twitter.

Cependant, suite à l’exploitation du bogue, Twitter a apporté des modifications au point de terminaison de l’API.

Après notre enquête, nous avons immédiatement apporté un certain nombre de modifications à ce point de terminaison afin qu’il ne puisse plus renvoyer des noms de compte spécifiques en réponse aux requêtes.

De plus, ils ont également suspendu les comptes qu’ils ont trouvé exploitant la faille.

Faites-nous part de vos réflexions dans les commentaires.

Voir aussi :

septembre 30, 2020

Poster un commentaire

Please Login to comment

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

Articles par catégories

S’abonner à la newsletter


Publicité

Culte du code | 2015-2022  (Vecteurs par Freepik, Parallax par fullvector)