Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Twitter dicht lek dat aanvaller toegang kon geven tot dm's

Twitter heeft een lek gedicht dat een aanvaller toegang had kunnen geven tot de dm's op een Android-telefoon. Het lek was maar te exploiteren op 4 procent van de Android-telefoons, omdat 96 procent van de gebruikers al een fix had via een beveiligingsupdate.

Twitter vermeldt niet precies om wat voor lek het gaat, maar zegt dat het gerelateerd is aan een lek in Android 8 en 9 dat is gedicht in oktober 2018. Ongeveer 96 procent van de gebruikers heeft een beveiligingsupdate die de exploit al onmogelijk maakte.

De aanval vereiste een aparte kwaadaardige app op het toestel om toegang te krijgen tot gevoelige gegevens in de Twitter-app. Vermoedelijk gaat het om CVE-2018-9492, een lek in ActivityManagerService.java om toegang te krijgen tot data van andere apps. Volgens Twitter is er geen misbruik gemaakt van het lek. De app heeft een update gekregen om de aanval definitief onmogelijk te maken. De aanval was onmogelijk op iOS en in de webversie van Twitter.

Door Arnoud Wokke

Redacteur mobile

05-08-2020 • 20:16

15 Linkedin

Submitter: pctje

Reacties (15)

Wijzig sortering
Tja,

Wat moet je hier nog over zeggen?

Sh*t happens.
Ik ben van mening dat wij iedereen moeten educaten dat het gebruik van bepaalde applicaties(niet kwaadwillende) risicovol is.
Mensen moeten begrijpen dat degenen die een twitterapp/facebookapp/instagramapp enz bouwen ook gewoon mensen zijn die fouten maken.

Bedank goed wat je met de applicaties op je telefoon doet!
Nu noem je social media op. Eigenlijk nog het kanaal waar je in principe de minste schade kan aanrichten. Social media accounts en conent is toch vaak niet in overeenstemming met de daadwerkelijke persoon erachter. Vaak te positief, van 1 invalshoek. Wat dacht je van bv een hack en toegang tot Gmail (persoonlijk) / G Suite (zakelijk) Of toegang tot cloud file shares (Onedrive / Google drive). Dan is er veel meer stront aan de knikker!
Minste schade? Je bedoelt dat Elon Musk die tweet dat SpaceX voor 200 miljard overgenomen is door een rijke arabier?
Ja, en dan? Wat is de schade? Want bij zo'n dergelijke (hack) tweet heb je binnen minuten andere bronnen met de juiste waarheid.
Je snapt dat beurskoersen hier binnen een minuut op zullen reageren? Buiten de schade voor traders kan het bedrijf zelf ook miljoenen aan boetes krijgen? Is het je wellicht ook opgevallen dat de machtigste persoon op aarde, Twitter als voornaamste bron van communiceren gebruikt?
Je gaat redelijk of topic: iedereen weet dat je Elon Musk met een korreltje zout moet nemen, zoals laatst, toen hij zei dat de koers van Tesla veel te hoog was.

Ik zeg ook niet dat je geen schade kan veroorzaken met het hacken van social media accounts, echter is het een stuk beperkter. Je hebt nu een case waarbij een paar traders wat schade hebben, waarbij goede traders ook niet volledig handelen op basis van 1 tweet...maar als dat je case is....
Schade voor die geldbeluste traders die direct reageren in plaats van controleren. Geen medelijden mee eerlijk gezegd. Maar een ander soort schade is vanaf een gehackt account dingen posten (bepaalde foto's of zo) waarbij mensen denken dat het van die persoon afkomstig is. Hiermee zou je gigantische persoonlijke (psychologische) schade aan kunnen richten. Maar daar zal het de meeste hackers niet om te doen zijn.

Dit wordt pas een risico wanneer dergelijke toegang goedkoop te verkrijgen is voor iedere persoon met enig technisch verstand zoals ook vele toolkits voor virussen e.d. tegenwoordig als "diensten" aangeboden worden.
Ook bij dit probleem is weer de vraag hoe een bedrijf kan stellen dat er geen misbruik van gemaakt zou zijn. Zelden leggen de bedrijven uit waarom ze daar werkelijk iets zinnigs over kunnen zeggen.
Misschien wil je de vijand niet wijzer maken?
Dat zou een argument kunnen zijn. Maar om er een uitspraak over te kunnen doen lijkt me dat Twitter van alle dm'ss dus moet kunnen herkennen of er een valse tussen zat of een andere zekerheid hebben om er iets over te kunnen zeggen. En dan ben ik wel benieuwd hoe lang ze gegevens bewaren die daar iets over kunnen zeggen.
Uiteindelijk blijft dit een gok maar ik verwacht dat ze wel kunnen zien welke app data op vraagt. En als ze weten welke app dit doet weten ze dus ook welke data opgevraagd zou worden. Als dat nooit gebeurd is bij die 4% dan kan je er van uit gaan dat dit nooit gebeurd is.
Ik lees dat het gaat om foute apps. Die komen waarschijnlijk niet uit een betrouwbare app store waar apps aan allerlei eisen moeten voldoen. Ongeacht of ze daar wel uit komen, apps kunnen aanvragen aanpassen zodat niet of moeilijk te herkennen is van welke app een aanvraag komt. Twitter heeft daar verder ook geen controle over. Dus ik betwijfel of dit het antwoord is.
Op zich goed dat ze het gedaan hebben om de 4% te beschermen maar ze zijn er wel erg laat mee. Het is blijkbaar al bijna 2 jaar bekend dat de lek er is.
Daarom pin in gewoon de website op mijn homescreen. Werkt perfect. Weer een app minder.
Wat is een DM? Als ik Google kom ik op een 'Direct Message' uit. Klopt dat? Het zal wel een privé bericht aan een andere TU (Twitter User) zijn.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True