土耳其研究人员利用推特安卓版漏洞间接获得1700万名用户真实号码

在数据与隐私安全方面虽然社交网络巨头脸书做的比较烂,但隔壁的推特在这段时间里也同样出现各种安全问题。

日前就有研究人员发现推特安卓版存在某些特定的缺陷,利用该缺陷可以将部分用户的联系人信息匹配特定账户。

位于土耳其伊斯坦布尔的安全研究人员 易卜拉欣•巴利奇 日前与外媒交谈时悄悄透露这个漏洞并介绍其研究成果

土耳其研究人员利用推特安卓版漏洞间接获得1700万名用户真实号码

间接获取超过1700万个推特账号手机号码:

推特安卓版首次安装并启动后会提示读取联系人信息,若用户允许的话则联系人信息会被加密上传到推特服务器。

推特根据手机号码匹配联系人信息然后向用户推荐好友,原本基于安全考虑联系人号码不会直接以明文形式上传。

但研究人员发现可以生成随机数字无限制的向推特上传,进而利用推特服务器的匹配功能检索与之相关的账户等。

这名研究人员在短短两个月时间里批量生成高达 20 亿个号码 , 其中高达1700万个号码被成功匹配特定推特账户。

也就是说这名研究人员间接获得 1700 万个推特账户的真实手机号码,对于推特来说这算是非常严重的泄露问题。

然而研究人员并未将漏洞提交给推特:

推特公司在 12月20日 封堵这枚漏洞才让研究人员透露该漏洞,在此之前这名研究人员并未直接向推特报告漏洞。

而针对这名研究人员的说法推特官方目前并未承认,至少截止至目前还无法确认推特是否真的泄露千万用户信息。

有趣的是推特在上周披露安卓版推特中的严重安全漏洞,攻击者执行特定代码后可以获得用户推特账户的控制权。

目前尚不清楚该漏洞与易卜拉欣发现的这枚漏洞是否相同,不同从推特描述的来看这应该是完全不同的安全问题。

本文来源 蓝点网,由 山外的鸭子哥 整理编辑,其版权均为 蓝点网 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
木头科学二百五
扫码关注蓝点网微信公众号

评论:

1 条评论,访客:1 条,站长:0 条
  1. fudashuai
    fudashuai发布于: 
    Maxthon 5.3.8.2000 Maxthon 5.3.8.2000 Windows 10 64位版 Windows 10 64位版

    1700万!数量太惊人了!

发表评论