Fraunhofer SIT warnt Sicherheitslücken in Twitter-Kit für iOS

Im Twitter-Kit für iOS 3.4.2 haben Forscher des Fraunhofer SIT Sicherheitslücken entdeckt.
Im Twitter-Kit für iOS 3.4.2 haben Forscher des Fraunhofer SIT Sicherheitslücken entdeckt.

Seid Ihr App-Entwickler? Dann solltet Ihr beim Twitter-Kit für iOS vorsichtig sein. Forscher des Fraunhofer SIT waren vor einer Sicherheitslücke, die sie mithilfe eines eigens entwickelten Testwerkzeugs gefunden haben.

Konkret handelt es sich um das Twitter-Kit iOS 3.4.2, eine End-of-Life-Softwarebibliothek von Twitter, die viele Apps zur Kommunikation mit Twitter nutzen. Über die Sicherheitslücke sind Identitätsdiebstahl, Accountmissbrauch sowie Datenverlust möglich. Laut Forschern des Fraunhofer Instituts für sichere Informationstechnologie SIT in Darmstadt sollten Entwickler von Apps das Twitter-Kit nicht mehr nutzen und in bereits bestehenden Apps durch Alternativen ersetzen. Technische Details findet Ihr auf der Homepage des Fraunhofer SIT.

Um der Sicherheitslücke auf die Spur zu kommen, nutzten die Forscher des Fraunhofer SIT das eigens dafür entwickelte Testwerkzeug »Appicaptor«. So fanden sie einen Fehler in der Schnittstelle zu Twitter, die das Twitter-Zertifikat nicht korrekt überprüft. Dadurch können Angreifer private Daten wie geschützte Tweets und Direktnachrichten des Accounts einsehen oder im Namen des Nutzers twittern, liken und retweeten. Auch kann jede App angegriffen werden, die das schadhafte Kit nutzt, um einen Login für Twitter anzubieten.

Die Forscher scannten Deutschlands beliebteste 2000 iOS-Apps und fanden dabei 45 betroffene Apps. Von den mehr als zwei Millionen Apps im Apple Store sind demnach vermutlich viele Anwendungen unterschiedlicher Kategorien betroffen. Darüber hinaus ist das Twitter-Kit für iOS in anderen Entwickler-Frameworks eingebunden, wie etwa Google Fabric.

Twitter stellt keinen Patch zur Verfügung

Twitter teilte nach Information durch die Forscher mit, dass sie die Sicherheitslücke mit einem Patch nicht schließen, da der Support für das Twitter-Kit bereits Ende Oktober 2018 ausgelaufen ist. Die Twitter-eigene App »Periscope« ist jedoch mittlerweile gepatcht. Twitter selbst nennt Alternativen zum hauseigenen Twitter-Kit.

Schlechte Nachrichten gibt es für alle Nutzer einer Twitter-App: Ob und wie jemand betroffen ist, lässt sich nicht ohne Weiteres feststellen. iOS-App-Nutzern raten die Forscher, einen Login mit Twitter, der in einer App angeboten wird, nicht zu nutzen. Vor allem dann nicht, wenn man sich in einem öffentlichen WLAN befindet. Hier lassen sich die Schwachstellen besonders leicht ausnutzen.