Fraunhofer Institut: Gravierende Sicherheitslücken in TwitterKit

Darmstadt  Das Fraunhofer Institut für Sichere Informationstechnologie warnt Entwickler: Das TwitterKit für iOS soll laut Meinung der Experten nicht mehr benutzt, sondern stattdessen ausgetauscht werden.

Ob und wie Smartphone-Nutzer betroffen sind, lässt sich nicht ohne Weiteres feststellen. iOS-App-Nutzern wird deshalb geraten, einen Login mit Twitter, der in einer App angeboten wird, nicht zu nutzen. Symbolfoto: imago stock

Ob und wie Smartphone-Nutzer betroffen sind, lässt sich nicht ohne Weiteres feststellen. iOS-App-Nutzern wird deshalb geraten, einen Login mit Twitter, der in einer App angeboten wird, nicht zu nutzen. Symbolfoto: imago stock

Foto: imago stock

Inhalt 
ARTIKEL AUF EINER SEITE LESEN >

Das TwitterKit für iOS 3.4.2, das zahlreiche Apps zur Kommunikation mit Twitter nutzen, hat gravierende Sicherheitslücken, die Identitätsdiebstahl, Account-Missbrauch sowie Datenverluste zur Folge haben können. Das haben Sicherheitsforscher des Fraunhofer-Instituts für Sichere Informationstechnologie SIT in Darmstadt herausgefunden. Es handelt sich um eine Softwarebibliothek von Twitter, die nicht mehr aktualisiert wird, aber noch in Apps zum Einsatz kommt. App-Entwickler sind dringend dazu angehalten, den TwitterKit für iOS-App-Entwicklungen nicht mehr einzusetzen und bestehende Apps durch Alternativen zu ersetzen.

Die Softwarebibliothek TwitterKit für iOS 3.4.2 sowie deren ältere Versionen werden in einigen beliebten Apps genutzt. Experten des Fraunhofer SIT haben einen Fehler in der Schnittstelle zu Twitter entdeckt, die das Twitter-SSL-Zertifikat nicht korrekt überprüft. Dadurch können Angreifer private Daten wie geschützte Tweets und Direktnachrichten des Twitternutzer-Accounts einsehen oder im Namen des Nutzers twittern, Tweets liken und retweeten. Darüber hinaus kann jede App angegriffen werden, die das schadhafte TwitterKit dafür nutzt, einen Login via Twitter anzubieten.

Die Sicherheitsforscher des Fraunhofer SIT haben Deutschlands beliebteste 2000 iOS-Apps gescannt (laut App Store) und 45 betroffene Apps gefunden. Die Fraunhofer-Experten haben Twitter unmittelbar vertraulich informiert. Twitter nennt unter folgendem Link Alternativen zum hauseigenen TwitterKit.

Nutzer sollten Login mit Twitter nicht verwenden

Ob und wie Smartphone-Nutzer selbst betroffen sind, lässt sich nicht ohne Weiteres feststellen. iOS-App-Nutzern wird deshalb geraten, einen Login mit Twitter, der in einer App angeboten wird, nicht zu nutzen, insbesondere nicht, wenn sich die Smartphone-Nutzer in einem öffentlichen WLAN befinden. Hier lassen sich die Schwachstellen besonders leicht ausnutzen.

Die Sicherheitsexperten des Fraunhofer SIT haben die Schwachstelle im TwitterKit mithilfe des selbst entwickelten Testwerkzeugs Appicaptor gefunden. Auf der Security-Messe it-sa in Nürnberg vom 8. bis 10. Oktober stellt das Fraunhofer SIT-Team die Erkenntnisse und das Tool vor, das große Mengen Apps automatisiert auf Sicherheitslücken hin scannen kann. Mehr Informationen zum Messeauftritt des Fraunhofer SIT.

Inhalt 
ARTIKEL AUF EINER SEITE LESEN >
Zu den Kommentaren
Im Moment können keine Kommentare gesichtet werden. Da wir für Leserkommentare in unserem Internetauftritt juristisch verantwortlich sind und eine Moderation nur während unserer Dienstzeiten gewährleisten können, ist die Kommentarfunktion wochentags von 22:00 bis 08:00 Uhr und am Wochenende von 20:00 bis 10:00 Uhr ausgeschaltet.