Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Twitter dicht lek in Android-app waarmee accounts gekaapt konden worden

Twitter had te maken met een beveiligingsprobleem waarbij het mogelijk was om accounts te kapen. Het probleem is inmiddels verholpen, en Twitter zegt dat het geen bewijs heeft dat er misbruik van is gemaakt.

Op zijn privacyblog meldt Twitter dat de kwetsbaarheid kortgeleden is gerepareerd, maar er worden weinig details gegeven over wat er precies aan de hand was. Volgens de sociale-mediawebsite kon er via een complex proces kwaadaardige code toegevoegd worden aan de Twitter-applicatie voor Android, waarna kwaadwillenden accounts konden overnemen. Twitter heeft ook een bericht naar zijn gebruikers gestuurd, om ze van de kwetsbaarheid op de hoogte te stellen.

Overigens benadrukt Twitter dat er geen bewijs is dat de kwetsbaarheid ook daadwerkelijk werd misbruikt. Het bedrijf stelt voorzorgsmaatregelen te willen nemen, en dat het om deze reden iedereen op de hoogte stelt. Gebruikers wordt aangeraden om de Twitter-applicatie voor Android te updaten naar de nieuwste versie, voor zover dat nog niet is gedaan.

Door Bauke Schievink

Admin Mobile / Nieuwsposter

21-12-2019 • 10:01

22 Linkedin Google+

Reacties (22)

Wijzig sortering
Vanmorgen heb ik ook zo'n mailtje gehad van Twitter, in het Nederlands. Het zag er niet erg betrouwbaar uit, zeker niet i.c.m. het linkje er bij om even de nieuwe versie kunnen te downloaden. Ook qua layout en taalgebruik deed het mij erg aan phishing denken. Kennelijk kwam het toch echt van Twitter zelf.
Ik vond het wel meevallen. Dit is de mail voor wie het wil zien:
<Twitterlogo aan de rechtse kant>

Hallo,

We hebben onlangs een veiligheidsprobleem waardoor je account mogelijk kon worden gehackt, verholpen. We hebben geen bewijs dat dit werkelijk is gebeurd, maar we weten dit niet 100% zeker, vandaar dat we je op de hoogte stellen. Je vindt hier meer informatie over dit probleem.

Installeer zo snel mogelijk de nieuwste versie van Twitter voor Android om te zorgen dat je account veilig is.

Het spijt ons dat dit is gebeurd. We blijven ons inzetten om je gegevens op Twitter veilig te houden. Als je vragen hebt over de veiligheid van je account, kan je contact opnemen met ons Office of Data Protection via dit formulier.

Bedankt,
Twitter

Help | Wachtwoord resetten | App downloaden

We hebben dit verstuurd naar @<username>.

Twitter International Company
One Cumberland Place, Fenian Street
Dublin 2, D02 AX07 IRELAND
Dit ziet er wellicht wat simpel uit, maar verder niet heel vreemd. En ook de linkjes in de mail zelf bevatten geen rare redirects of iets. De laatste 3 links (help e.d.) bevatten wel wat extra gegevens.

Ik check altijd wat linkjes om te weten of het rare dingen doet en dat was bij deze niet het geval.
Controleer bij verdachte emails altijd de header. Ik heb de mail zelf ook ontvangen:
  • Envelope sender domein is bounce.twitter.com. SPF is een pass. Het IP is dus gemachtigd te verzenden namens dit domein.
  • Het DKIM signature domein is twitter.com en is geldig verklaard, pass. Er is dus niet gerommeld met de email onderweg naar jou.
  • Tot slot, het From header domein is twitter.com, DMARC is (mede door de bovenstaande resultaten) een pass.

[Reactie gewijzigd door Aurora op 21 december 2019 23:36]

Ik vertrouwde het zelf ook niet, mede doordat het midden in de nacht was verstuurd. Na een check van de hyperlink en afzender, ging ik er vanuit dat het wel klopte.

Ik heb de app inmiddels geüpdatet en mijn accounts gecontroleerd op vreemde acties. De wachtwoorden zijn uniek en kunnen niet voor andere doeleinden worden misbruikt.
"Ik vertrouwde het zelf ook niet, mede doordat het midden in de nacht was verstuurd."

Ja, want Twitter is een Nederlands bedrijf, dus die moeten rekening houden met Nederlandse tijden om te voorkomen dat het op spam lijkt... 8)7
Een goeie spammer houd daar in iedergeval rekening mee :)
Goed dat Twitter proactief bezig is om zijn gebruikers op de hoogte te brengen dat ze een nieuwe versie moeten downloaden. Zouden meer bedrijven moeten doen.
Het zou hen (en Facebook, Instagram, Skype en veel andere grote bedrijven) sieren als ze ook een fatsoenlijke changelog toevoegen zodat ik vooraf weet of het een interessante update betreft. Vaak komt het voor dat features zijn verdwenen waar ik gebruik van maak.

Je kan de wijzigingen misschien niet zien, maar we hebben er een paar doorgevoerd om te zorgen dat jouw Twitter voor de volle honderd procent blijft draaien.
Ik meen een keer gelezen te hebben dat Apple dit soort vage “changelogs” wilden aanpakken in de AppStore. Echter kan ik het artikel niet meer terug vinden.
Dat is leuk voor iOS-gebruikers, maar daar hebben Android-gebruikers niks aan.
Vanuit Google hoef je het in ieder geval niet te verwachten aangezien ze het zelf ook doen.
Dat is ook precies een belangrijke reden waarom ik eigenlijk nooit mijn apps update. Zeer vaak gaan ze helaas achteruit qua functionaliteit en gebruiksgemak, dus waarom zou ik dan updaten? (exclusief veiligheidsdingen als deze natuurlijk)
Wel knap dat je vanaf de client een account kan hijacken.
Als de client lek is, waardoor je vanuit een andere app via een exploit de session kan kapen, is dat niet heel vergezocht.

[Reactie gewijzigd door CykoByte op 21 december 2019 11:28]

Zo ongeveer de eerste regel bij client-server is dat je als server alle ontvangen info moet wantrouwen tenzij je die info kan verifiëren en de verbinding authenticated is.
Volgens mij is er dus niet alleen bij de client iets mis (geweest).
Uiteraard. Maar, als de sessie van de twitter client gekaapt is, is dat onderscheid er niet.
Sessie kun je beveiligen tegen kaping hoor. Heb dat zelf ook wel gedaan.
Ben benieuwd hoe jij dat doet. Een sessie bestaat altijd uit een stuk unieke data die bij de client wordt opgeslagen. De server weet, aan de hand van die unieke data die de client aanlevert, om welke sessie het gaat. Dat is het onderliggende mechanisme van bijvoorbeeld PHP sessions.

Zolang je die unieke data (Session ID uit een cookie bijvoorbeeld) van de client kan achterhalen, ben je er al. Het onderscheid kun je dan nooit maken. Je kunt hier uiteraard algoritmes inbouwen, maar ook daar geldt, dat zodra je die uitvogelt, je met de benodigde achterhaalde gegevens in een gespoofde client kan doen alsof je deel uitmaakt van de sessie.
In het geval van Twitter zou ik de app laten uitloggen op het moment dat je de app niet meer actief gebruikt en daarna elke keer opnieuw laten inloggen en uitloggen voor een interactie met de server.
Ook een vaste sessie lengte waarna automatische uitlog volgt is aan te raden.
Als je dan ook nog https gebruikt en je headers gebruikt dan moeten ze wel erg veel data op exact dezelfde tijd kunnen reproduceren.
Server side zou ik dan vervolgens de sessie aan een ip koppelen zodat hij niet kan springen zonder ongeldig te worden en een nieuwe inlog nodig te maken.

Dit zijn zomaar wat gedachtes die in me opkomen.
Gaat lekker weer met Twitter zeg

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True