Twitter говорит, что ошибка безопасности могла открыть прямые сообщения Android пользователей приложения, но сказал, что нет никаких доказательств того, что уязвимость когда-либо использовалась.
Ошибка могла позволить вредоносному Android-приложению, работающему на том же устройстве, перекачивать прямые сообщения пользователя, хранящиеся в Twitter приложение, минуя встроенные разрешения Android на данные.
Twitter однако сказал, что ошибка работает только на Android 8 (Oreo) и Android 9 (Pie) и с тех пор исправлена.
Twitter Представитель сообщил TechCrunch, что об ошибке сообщил исследователь безопасности через Twitterплатформа bug bounty, HackerOne, «несколько недель назад» и был исследован и исправлен.
«С тех пор мы работаем над обеспечением безопасности счетов», – сказал представитель. «Теперь, когда проблема исправлена, мы сообщаем людям об этом». Twitter сказал, что ждал, чтобы сообщить своим пользователям, чтобы кто-то не узнал о проблеме и не воспользовался ею, прежде чем она будет исправлена - распространенный подход к сообщению о недостатках безопасности.
Twitter сказал, что около 4% пользователей все еще используют уязвимую версию Twitter для Android, и мы будем уведомлены об обновлении приложения как можно скорее. Многие пользователи начали замечать всплывающие окна в приложении, уведомляющие их о проблеме.
Новости о проблеме безопасности поступают всего через несколько недель после того, как компания была атакована хакером, который получил доступ к внутреннему инструменту «администратора», который вместе с двумя другими сообщниками похитил высокопоставленных лиц. Twitter счетов для распространения мошенничества с криптовалютой, обещающего «удвоить ваши деньги». В результате взлома и последующего мошенничества было получено мошеннических средств на сумму более 100000 долларов.
Министерство юстиции предъявило обвинения трем лицам, в том числе одному несовершеннолетнему, предположительно виновным в инциденте.