باحث تركي يكتشف ثغرة خطرة في تطبيق تويتر على أندرويد
قال باحث أمني تركي: إنه اكتشف وجود ثغرة في التطبيق الخاص بموقع التواصل الاجتماعي تويتر على نظام أندرويد سمحت له بمطابقة 17 مليون رقم هاتف مع حسابات المستخدمين على الخدمة.
ووجد (إبراهيم باليتش) أن الثغرة في ميزة تحميل جهات الاتصال الخاصة بتطبيق تويتر كان تسمح بتحميل قوائم كاملة من أرقام الهواتف التي أُنشئت بواسطة الميزة. وقال الباحث لموقع (تك كرنش) TechCrunch التقني: “إن حملّت رقم هاتفك، فإنه سيجلب لك بيانات المستخدم في المقابل”.
وقال باليتش: إن ميزة تحميل جهات الاتصال الخاصة بتطبيق تويتر لا تقبل قوائم أرقام الهواتف بتنسيق تسلسلي، ورجح أن يكون ذلك بهدف منع هذا النوع من المطابقة. وبدلًا من ذلك، أنشأ باليتش أكثر من ملياري رقم هاتف، واحدًا تلو الآخر، ثم وزع الأرقام عشوائيًا، ثم حملها على تويتر من خلال تطبيقها على أندرويد. وأكد الباحث أن الثغرة لا توجد في ميزة تحميل جهات الاتصال على الويب.
وعلى مدى شهرين، قال باليتش: إنه طابق سجلات المستخدمين في عدد من الدول، بما في ذلك: إسرائيل، وتركيا، وإيران، واليونان، وأرمينيا، وفرنسا، وألمانيا، لكنه توقف بعد أن عرقل موقع تويتر نشاطه في 20 كانون الأول/ديسمبر الجاري.
وزود باليتش موقع (تك كرنش) بعينة من أرقام الهواتف التي طابقها، وبالفعل تمكن الموقع من تحديد هوية سياسي إسرائيلي باستخدام رقم الهاتف المطابق. أما باليتش فلم يحذر تويتر من الثغرة، ولكنه تمكن من معرفة أرقام عدد من مستخدمي تويتر الكبار، بما في ذلك سياسيون ومسؤولون، وأضافهم إلى مجموعة واتساب لتحذيرهم من الثغرة مباشرةً.
يُشار إلى أن كشف باليتش يأتي بعد أيام من إعلان تويتر عن وجود ثغرة قد تسمح للجهات الفاعلة السيئة برؤية معلومات الحسابات الخاصة، أو التحكم بالحسابات، مثل التغريدات، والرسائل المباشرة، ومعلومات الموقع.
تجدر الإشارة أيضًا إلى أنه سبق للباحث التركي باليتش اكتشاف ثغرة أمنية في مركز المطورين الخاص بشركة آبل في عام 2013.
