Twitter dicht lek in Android-app waarmee accounts gekaapt konden worden

Twitter had te maken met een beveiligingsprobleem waarbij het mogelijk was om accounts te kapen. Het probleem is inmiddels verholpen, en Twitter zegt dat het geen bewijs heeft dat er misbruik van is gemaakt.

Op zijn privacyblog meldt Twitter dat de kwetsbaarheid kortgeleden is gerepareerd, maar er worden weinig details gegeven over wat er precies aan de hand was. Volgens de sociale-mediawebsite kon er via een complex proces kwaadaardige code toegevoegd worden aan de Twitter-applicatie voor Android, waarna kwaadwillenden accounts konden overnemen. Twitter heeft ook een bericht naar zijn gebruikers gestuurd, om ze van de kwetsbaarheid op de hoogte te stellen.

Overigens benadrukt Twitter dat er geen bewijs is dat de kwetsbaarheid ook daadwerkelijk werd misbruikt. Het bedrijf stelt voorzorgsmaatregelen te willen nemen, en dat het om deze reden iedereen op de hoogte stelt. Gebruikers wordt aangeraden om de Twitter-applicatie voor Android te updaten naar de nieuwste versie, voor zover dat nog niet is gedaan.

Twitter beveiliging

Door RoD

Forum Admin Mobile & FP PowerMod

Feedback • 21-12-2019 10:01 22

21-12-2019 • 10:01

22

Lees meer

Data duizenden Android-apps zijn te vinden door slechte database-implementatie
Data duizenden Android-apps zijn te vinden door slechte database-implementatie Nieuws van 13 mei 2020
Twitter test 'fleets' die na 24 uur verdwijnen
Twitter test 'fleets' die na 24 uur verdwijnen Nieuws van 5 maart 2020
Onderzoekers: kwetsbaarheid in kabelmodems treft vele miljoenen exemplaren
Onderzoekers: kwetsbaarheid in kabelmodems treft vele miljoenen exemplaren Nieuws van 12 januari 2020
Twitter geeft gebruikers optie om geen antwoorden te krijgen op tweets
Twitter geeft gebruikers optie om geen antwoorden te krijgen op tweets Nieuws van 8 januari 2020
'Security-onderzoeker achterhaalt 17 miljoen telefoonnummers Twitter-gebruikers'
'Security-onderzoeker achterhaalt 17 miljoen telefoonnummers Twitter-gebruikers' Nieuws van 25 december 2019
Twitter doet animated png-bestanden in de ban na aanvallen op epilepsiepatiënten
Twitter doet animated png-bestanden in de ban na aanvallen op epilepsiepatiënten Nieuws van 24 december 2019
Facebook en Twitter halen netwerken met duizenden trol-accounts offline
Facebook en Twitter halen netwerken met duizenden trol-accounts offline Nieuws van 20 december 2019
Reddit en Twitter krijgen verzoek om info over iOS-beveiliging offline te halen
Reddit en Twitter krijgen verzoek om info over iOS-beveiliging offline te halen Nieuws van 12 december 2019
Twitter gaat werken aan open standaard voor sociale media
Twitter gaat werken aan open standaard voor sociale media Nieuws van 11 december 2019
Meer producten en artikelen
Websites en community's Twitter

Reacties (22)

-Moderatie-faq
22
21
8
2
0
4
Wijzig sortering
John Duh 21 december 2019 10:16
Vanmorgen heb ik ook zo'n mailtje gehad van Twitter, in het Nederlands. Het zag er niet erg betrouwbaar uit, zeker niet i.c.m. het linkje er bij om even de nieuwe versie kunnen te downloaden. Ook qua layout en taalgebruik deed het mij erg aan phishing denken. Kennelijk kwam het toch echt van Twitter zelf.
Martinspire @John Duh21 december 2019 12:04
Ik vond het wel meevallen. Dit is de mail voor wie het wil zien:
<Twitterlogo aan de rechtse kant>

Hallo,

We hebben onlangs een veiligheidsprobleem waardoor je account mogelijk kon worden gehackt, verholpen. We hebben geen bewijs dat dit werkelijk is gebeurd, maar we weten dit niet 100% zeker, vandaar dat we je op de hoogte stellen. Je vindt hier meer informatie over dit probleem.

Installeer zo snel mogelijk de nieuwste versie van Twitter voor Android om te zorgen dat je account veilig is.

Het spijt ons dat dit is gebeurd. We blijven ons inzetten om je gegevens op Twitter veilig te houden. Als je vragen hebt over de veiligheid van je account, kan je contact opnemen met ons Office of Data Protection via dit formulier.

Bedankt,
Twitter

Help | Wachtwoord resetten | App downloaden

We hebben dit verstuurd naar @<username>.

Twitter International Company
One Cumberland Place, Fenian Street
Dublin 2, D02 AX07 IRELAND
Dit ziet er wellicht wat simpel uit, maar verder niet heel vreemd. En ook de linkjes in de mail zelf bevatten geen rare redirects of iets. De laatste 3 links (help e.d.) bevatten wel wat extra gegevens.

Ik check altijd wat linkjes om te weten of het rare dingen doet en dat was bij deze niet het geval.
Aurora @John Duh21 december 2019 23:34
Controleer bij verdachte emails altijd de header. Ik heb de mail zelf ook ontvangen:
  • Envelope sender domein is bounce.twitter.com. SPF is een pass. Het IP is dus gemachtigd te verzenden namens dit domein.
  • Het DKIM signature domein is twitter.com en is geldig verklaard, pass. Er is dus niet gerommeld met de email onderweg naar jou.
  • Tot slot, het From header domein is twitter.com, DMARC is (mede door de bovenstaande resultaten) een pass.

[Reactie gewijzigd door Aurora op 23 juli 2024 17:16]

Kiswum @John Duh21 december 2019 10:38
Ik vertrouwde het zelf ook niet, mede doordat het midden in de nacht was verstuurd. Na een check van de hyperlink en afzender, ging ik er vanuit dat het wel klopte.

Ik heb de app inmiddels geüpdatet en mijn accounts gecontroleerd op vreemde acties. De wachtwoorden zijn uniek en kunnen niet voor andere doeleinden worden misbruikt.
TheVivaldi @Kiswum21 december 2019 12:09
"Ik vertrouwde het zelf ook niet, mede doordat het midden in de nacht was verstuurd."

Ja, want Twitter is een Nederlands bedrijf, dus die moeten rekening houden met Nederlandse tijden om te voorkomen dat het op spam lijkt... 8)7
mjl @TheVivaldi21 december 2019 14:41
Een goeie spammer houd daar in iedergeval rekening mee :)
mutsje 21 december 2019 10:21
Goed dat Twitter proactief bezig is om zijn gebruikers op de hoogte te brengen dat ze een nieuwe versie moeten downloaden. Zouden meer bedrijven moeten doen.
Kiswum @mutsje21 december 2019 10:41
Het zou hen (en Facebook, Instagram, Skype en veel andere grote bedrijven) sieren als ze ook een fatsoenlijke changelog toevoegen zodat ik vooraf weet of het een interessante update betreft. Vaak komt het voor dat features zijn verdwenen waar ik gebruik van maak.

Je kan de wijzigingen misschien niet zien, maar we hebben er een paar doorgevoerd om te zorgen dat jouw Twitter voor de volle honderd procent blijft draaien.
g1n0 @Kiswum21 december 2019 11:04
Ik meen een keer gelezen te hebben dat Apple dit soort vage “changelogs” wilden aanpakken in de AppStore. Echter kan ik het artikel niet meer terug vinden.
TheVivaldi @g1n021 december 2019 12:10
Dat is leuk voor iOS-gebruikers, maar daar hebben Android-gebruikers niks aan.
HakanX @TheVivaldi21 december 2019 16:50
Vanuit Google hoef je het in ieder geval niet te verwachten aangezien ze het zelf ook doen.
TheVivaldi @HakanX21 december 2019 17:14
Ja, helaas wel.
OncreatieveNaam @Kiswum21 december 2019 15:05
Dat is ook precies een belangrijke reden waarom ik eigenlijk nooit mijn apps update. Zeer vaak gaan ze helaas achteruit qua functionaliteit en gebruiksgemak, dus waarom zou ik dan updaten? (exclusief veiligheidsdingen als deze natuurlijk)
Sandor_Clegane 21 december 2019 10:51
Wel knap dat je vanaf de client een account kan hijacken.
Aardedraadje @Sandor_Clegane21 december 2019 11:28
Als de client lek is, waardoor je vanuit een andere app via een exploit de session kan kapen, is dat niet heel vergezocht.

[Reactie gewijzigd door Aardedraadje op 23 juli 2024 17:16]

Raymond Deen @Aardedraadje22 december 2019 08:59
Zo ongeveer de eerste regel bij client-server is dat je als server alle ontvangen info moet wantrouwen tenzij je die info kan verifiëren en de verbinding authenticated is.
Volgens mij is er dus niet alleen bij de client iets mis (geweest).
Aardedraadje @Raymond Deen22 december 2019 13:12
Uiteraard. Maar, als de sessie van de twitter client gekaapt is, is dat onderscheid er niet.
Raymond Deen @Aardedraadje22 december 2019 19:51
Sessie kun je beveiligen tegen kaping hoor. Heb dat zelf ook wel gedaan.
Aardedraadje @Raymond Deen22 december 2019 21:17
Ben benieuwd hoe jij dat doet. Een sessie bestaat altijd uit een stuk unieke data die bij de client wordt opgeslagen. De server weet, aan de hand van die unieke data die de client aanlevert, om welke sessie het gaat. Dat is het onderliggende mechanisme van bijvoorbeeld PHP sessions.

Zolang je die unieke data (Session ID uit een cookie bijvoorbeeld) van de client kan achterhalen, ben je er al. Het onderscheid kun je dan nooit maken. Je kunt hier uiteraard algoritmes inbouwen, maar ook daar geldt, dat zodra je die uitvogelt, je met de benodigde achterhaalde gegevens in een gespoofde client kan doen alsof je deel uitmaakt van de sessie.
Raymond Deen @Aardedraadje23 december 2019 07:30
In het geval van Twitter zou ik de app laten uitloggen op het moment dat je de app niet meer actief gebruikt en daarna elke keer opnieuw laten inloggen en uitloggen voor een interactie met de server.
Ook een vaste sessie lengte waarna automatische uitlog volgt is aan te raden.
Als je dan ook nog https gebruikt en je headers gebruikt dan moeten ze wel erg veel data op exact dezelfde tijd kunnen reproduceren.
Server side zou ik dan vervolgens de sessie aan een ip koppelen zodat hij niet kan springen zonder ongeldig te worden en een nieuwe inlog nodig te maken.

Dit zijn zomaar wat gedachtes die in me opkomen.
Californication 21 december 2019 10:16
Gaat lekker weer met Twitter zeg

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq