Twitter Android應(yīng)用程序錯(cuò)誤使數(shù)百萬個(gè)電話號(hào)碼與帳戶匹配

Twitter可能沒有像Facebook那樣被卷入主要的隱私和政治丑聞中，但它也有很多令人頭疼的問題。其中大多數(shù)源于技術(shù)問題(即錯(cuò)誤)，這些問題會(huì)在用戶不該泄漏的情況下泄漏用戶的信息。最新的漏洞似乎幾乎是一個(gè)簡單的漏洞，只需通過Android上的Twitter應(yīng)用程序上傳大量隨機(jī)生成的號(hào)碼列表，即可將電話號(hào)碼與用戶匹配。

該漏洞是由安全研究員易卜拉欣·巴利奇(Ibrahim Balic)在兩個(gè)月的時(shí)間內(nèi)發(fā)現(xiàn)并測試的。Balic生成了數(shù)百萬個(gè)電話號(hào)碼，并以非順序的方式排列它們，以繞過Twitter旨在嚴(yán)格阻止這種釣魚嘗試的安全措施。顯然，觸發(fā)該錯(cuò)誤非常容易。

Twitter允許用戶上傳聯(lián)系人的電話號(hào)碼，以檢查他們是否具有Twitter帳戶并進(jìn)行連接。Balic能夠?qū)?,700萬個(gè)生成的電話號(hào)碼與Twitter用戶帳戶進(jìn)行匹配，其中一些已被TechCrunch確認(rèn)。Twitter的網(wǎng)絡(luò)界面上沒有大文件。

Balic并未向Twitter報(bào)告此事，但在WhatsApp組中向受影響的用戶發(fā)出了警報(bào)。他說，Twitter已于12月20日阻止了這種嘗試，公司發(fā)言人證實(shí)，它已暫停使用這種方式利用該系統(tǒng)的帳戶。它沒有確認(rèn)實(shí)際的錯(cuò)誤或已采取的措施以確保聯(lián)系人上傳功能不會(huì)再次被這種方式利用。

此漏洞可能與本周公開宣布的Twitter無關(guān)，也影響了Android應(yīng)用。這被更多地描述為一個(gè)錯(cuò)誤，需要更多的主動(dòng)代碼注入，而不是濫用Twitter本身提供的功能。無論如何，它都屬于今年報(bào)告的Twitter漏洞列表，其中一些僅影響社交網(wǎng)絡(luò)的Android應(yīng)用程序。