土耳其研究人员利用推特安卓版漏洞间接获得1700万名用户真实号码
在数据与隐私安全方面虽然社交网络巨头脸书做的比较烂,但隔壁的推特在这段时间里也同样出现各种安全问题。
日前就有研究人员发现推特安卓版存在某些特定的缺陷,利用该缺陷可以将部分用户的联系人信息匹配特定账户。
位于土耳其伊斯坦布尔的安全研究人员 易卜拉欣•巴利奇 日前与外媒交谈时悄悄透露这个漏洞并介绍其研究成果。
推特安卓版首次安装并启动后会提示读取联系人信息,若用户允许的话则联系人信息会被加密上传到推特服务器。
推特根据手机号码匹配联系人信息然后向用户推荐好友,原本基于安全考虑联系人号码不会直接以明文形式上传。
但研究人员发现可以生成随机数字无限制的向推特上传,进而利用推特服务器的匹配功能检索与之相关的账户等。
这名研究人员在短短两个月时间里批量生成高达 20 亿个号码 , 其中高达1700万个号码被成功匹配特定推特账户。
也就是说这名研究人员间接获得 1700 万个推特账户的真实手机号码,对于推特来说这算是非常严重的泄露问题。
推特公司在 12月20日 封堵这枚漏洞才让研究人员透露该漏洞,在此之前这名研究人员并未直接向推特报告漏洞。
而针对这名研究人员的说法推特官方目前并未承认,至少截止至目前还无法确认推特是否真的泄露千万用户信息。
有趣的是推特在上周披露安卓版推特中的严重安全漏洞,攻击者执行特定代码后可以获得用户推特账户的控制权。
目前尚不清楚该漏洞与易卜拉欣发现的这枚漏洞是否相同,不同从推特描述的来看这应该是完全不同的安全问题。