Twitter siger, at det har patched en sårbarhed i sin Android-app, der potentielt kunne have ladet ondsindede aktører se oplysninger om private konti og overtage profiler gennem en indviklet back-end-proces. Hvis en hacker formåede at udnytte smuthullet, kunne de sende direkte beskeder og tweets på målkontoens vegne.
Det sociale netværk hævder hidtil, at det ikke har opdaget nogen berørt bruger eller fundet bevis for, om en tredjeparts service har udnyttet bugten. Twitter når imidlertid ud til de mennesker, hvis detaljer muligvis er blevet afsløret. Det er uklart, hvor længe sårbarheden blev udeladt i det fri. Problemet findes ikke i Twitters iOS-app.
Twitter udruller nu en opdatering til sin Android-app. Så hvis du er en Android-bruger, skal du gå over til Play Butik og installere det med det samme, uanset om Twitter kontaktede dig.
”Vi har ikke beviser for, at ondsindet kode blev indsat i appen, eller at denne sårbarhed blev udnyttet, men vi kan ikke være helt sikre, så vi tager ekstra forsigtighed. Vi har taget skridt til at løse dette problem og underretter direkte folk, der kunne have været udsat for denne sårbarhed enten via Twitter-appen eller via e-mail med specifikke instruktioner for at holde dem sikre, ”sagde virksomheden i et blogindlæg.
Da metoden til misbrug af fejlen ikke var så ligetil, er det usandsynligt, at mange brugere er blevet påvirket på grund af dette. Twitter efterlod i det væsentlige et følsomt lagerområde i sin app ubeskyttet. Enten via en anden tredjepartsapp eller en ubekræftet online download kan en hacker i teorien udnytte det til at indsætte et stykke ondsindet kode i, hvor Twitter gemmer dine private oplysninger på din telefon og misbruger denne adgang til at hente dine personlige data som samt sende beskeder og tweets fra din profil.
Denne seneste sikkerhedsfejl ligner på mange måder den, der skete for omkring en måned siden. Den 25. november sagde Facebook og Twitter, at private data om "hundreder af deres brugere" blev kompromitteret gennem ondsindede Android-apps fra tredjeparter. De to sociale medievirksomheder hævdede overtrædelsen, fordi der ikke var tilstrækkelig isolation mellem forskellige softwareudviklerpakker inden for en enkelt app på Android.
