Сегодня Twitter сообщила об уязвимости в своем Android-приложении, которая, в случае использования, могла позволить злоумышленникам получить доступ к личным данным пользователей, включая личные сообщения и многое другое.
В кратком посте Twitter объясняет, что недавно обнаруженная уязвимость существовала в Android-приложении компании, которая могла позволить другим приложениям со зловредными намерениями просматривать личные данные Twitter на вашем устройстве. По-видимому, эта проблема была связана с исправлением, которое Google внесла в обновление безопасности от октября 2018 года, что означает, что 96% пользователей Twitter для Android не были подвержены этой уязвимости.
К счастью, Twitter не располагает информацией о каких-либо случаях использования этой уязвимости 4% пользователей, которые были подвержены ей, затрагивающей Android 8 и Android 9. Однако, чтобы обеспечить безопасность этих пользователей, Twitter требует их последнее обновление приложения Twitter для Android, которое устраняет уязвимость, а также внедряет внутри приложения меры безопасности. Внутри приложения также отображаются уведомления, как показано ниже, для некоторых пользователей.
Недавно мы обнаружили и исправили уязвимость в Twitter для Android, связанную с базовой уязвимостью безопасности ОС Android, затрагивающей версии ОС 8 и 9. Насколько нам известно, 96% пользователей Twitter для Android уже установили патч безопасности Android, который защищает их от этой уязвимости. Для остальных 4% эта уязвимость могла позволить злоумышленнику через вредоносное приложение, установленное на вашем устройстве, получить доступ к личным данным Twitter на вашем устройстве (например, к личным сообщениям), обходя системные разрешения Android, которые защищают от этого.
У нас нет доказательств того, что эта уязвимость была использована злоумышленниками. Но, поскольку мы не можем быть полностью уверены, вот что мы делаем, чтобы обеспечить безопасность небольшой группы потенциально уязвимых людей:
- Обновили Twitter для Android, чтобы гарантировать, что внешние приложения не могут получить доступ к данным внутри приложения Twitter, добавив дополнительные меры безопасности помимо стандартных защитных мер ОС.
- Требуем, чтобы все, кто мог быть затронут, обновили Twitter для Android.
- Отправляем внутриигровые уведомления всем, кто мог быть уязвим, чтобы сообщить им, нужно ли им что-либо предпринимать.
- Вносим изменения в наши процессы, чтобы лучше защищаться от подобных проблем.
Примечательно, что это не первая уязвимость, о которой Twitter сообщила в своем Android-приложении. Не так давно аналогичная проблема была сделана публичной для пользователей после того, как было доступно исправление.
Дилан Руссель внес свой вклад в написание этой статьи.