Twitter heeft een lek gedicht dat een aanvaller toegang had kunnen geven tot de dm's op een Android-telefoon. Het lek was maar te exploiteren op 4 procent van de Android-telefoons, omdat 96 procent van de gebruikers al een fix had via een beveiligingsupdate.
Twitter vermeldt niet precies om wat voor lek het gaat, maar zegt dat het gerelateerd is aan een lek in Android 8 en 9 dat is gedicht in oktober 2018. Ongeveer 96 procent van de gebruikers heeft een beveiligingsupdate die de exploit al onmogelijk maakte.
De aanval vereiste een aparte kwaadaardige app op het toestel om toegang te krijgen tot gevoelige gegevens in de Twitter-app. Vermoedelijk gaat het om CVE-2018-9492, een lek in ActivityManagerService.java om toegang te krijgen tot data van andere apps. Volgens Twitter is er geen misbruik gemaakt van het lek. De app heeft een update gekregen om de aanval definitief onmogelijk te maken. De aanval was onmogelijk op iOS en in de webversie van Twitter.
:strip_exif()/i/2005568452.jpeg?f=fpa)
:strip_exif()/i/2002914792.jpeg?f=fpa)
/i/1277037256.png?f=fpa)
/i/2003097806.png?f=fpa)
:strip_exif()/u/19665/ElfEverQuestTweakersSmall.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/621125/crop65cd0fde312bc_cropped.jpg?f=community){kind=small}