Uma falha de segurança no aplicativo do Twitter para Android permitia que cibercriminosos localizassem os telefones cadastrados dos usuários. A brecha foi encontrada pelo pesquisador de segurança Ibrahim Balic, que disse ter sido capaz de localizar os números associados a diferentes perfis da rede social a partir de uma ferramenta de upload de contatos, voltada para aumentar o engajamento e a localização de conhecidos na plataforma.
O pesquisador disse ter usado geradores randômicos de telefones para associar os dígitos a dois bilhões de contas registradas no Twitter, ultrapassando até mesmo mecanismos de segurança da plataforma. Ele explica que, como medida para evitar esse tipo de uso, o aplicativo não aceita listas de números em ordens sequencial, mas bastou que os dados fossem colocados foram de ordem para que a técnica funcionasse, com o sistema indicando as contas a que cada um deles pertencia.
Entre as centenas de milhões de resultados positivos obtidos, estavam usuários em países como Israel, Turquia, Irã, Grécia, Armênia, França e Alemanha. Assim que obteve sucesso, Balic disse ter levado os resultados a grupos fechados no WhatsApp, enquanto o Twitter, ao perceber que algo estava errado devido ao alto número de solicitações, fechou a brecha no dia 20 de dezembro. Isso impediu que ele continuasse coletando dados, mas, de acordo com o especialista, seus achados iniciais já incluem dados de celebridades e políticos dos países citados.
–
Participe do GRUPO CANALTECH OFERTAS no Telegram e garanta sempre o menor preço em suas compras de produtos de tecnologia.
–
A exploração abre diferentes tipos de brechas. Na principal delas, números de telefone são ligados a contas no Twitter mesmo que o usuário não os tenha fornecido de forma pública, o que pode abrir margem para outros golpes ou tentativas de phishing. Além disso, os dados podem ser utilizados no cruzamento com outros bancos de dados vazados, que podem conter senhas ou mais informações que levem à invasão das contas.
Ainda, como registrado pelo especialista, personalidades podem ter seus números de celular vazados publicamente, bem como podem se tornar um alvo preferencial de ataques desse tipo. Balic lembra ainda que um dos meios usados pelo Twitter para recuperação de senha é, justamente, o telefone, com clonagem e outros métodos podendo ser utilizado para que hackers ganhem acesso a contas e informações pessoais de suas vítimas.
Por outro lado, não existem indícios de que a falha tenha sido explorada para fins maliciosos — por mais que ela estivesse presente apenas no app da rede social para Android, ela colocava todos os usuários da rede social em risco. Em comunicado, o Twitter disse ter suspendido as contas usadas para coleta de dados e que está trabalhando para que o bug não possa mais ser utilizado.
A brecha não estaria relacionada a um comunicado enviado pela empresa na última semana, solicitando a todos os usuários de seu aplicativo para Android que realizem uma atualização. Neste caso, a correção tem a ver com a possibilidade de um hacker assumir o controle direto dos perfis dos utilizadores a partir de um método que não foi divulgado e, também, jamais explorado, de acordo com a rede social.
Trending no Canaltech:
- Lançamentos da Netflix na semana (14/12 a 27/12)
- PlayStation 4 | Os 10 jogos mais esperados em 2020
- Retrospectiva 2019: as notícias mais importantes do ano no mundo da Tecnologia
- Samsung diz que em cinco anos ninguém mais usará smartphones
- Crítica | Esquadrão 6 é mais forte do que um energético, só não dá asas
Fonte: Canaltech
