现在不少社交应用会提示用户可以透过上传通讯录来得知有哪些潜在的好友,而一位网络安全研究员则发现在,这样的功能在推特上可能会有潜在的漏洞风险,把推特用户的电话号码暴露出来。
网络安全研究员Ibrahim Balic++向techCrunch表示,通过推特安卓应用的通讯录上传功能中的一个Bug,他能够将至少1700万个电话号码与其它们相对应的twitter用户帐户进行配对。
图片来源:Techspot
一般来说,通讯录上传功能不接受顺序的电话号码,也就是例如1001、1002、1003这样的。但是Ibrahim Balic发现,“如果用户上传电话号码,那么系统之后将会反馈用户一些数据。” 也就是说,这个原本是用来防止用户进行号码配对的限制措施会失效。
Ibrahim Balic顺序生成了20亿个随机的电话号码,然后利用安卓应用程序将其上传到推特,因为ios似乎没有不受此影响。经过两个月的尝试后,他最终得到了来自以色列,伊朗,土耳其,亚美尼亚,法国,德国和希腊的一长串匹配电话号码的用户名。TechCrunch以成功使用推特的密码重置功能来证实这个发现。
目前没有证据显示Ibrahim Balic发现的漏洞与推特上周的另一个漏洞有关。上周的漏洞可以让使不法分子看到用户的非公开的帐户信息甚至直接控制用户的帐户”,从而可能暴露用户的对话消息、位置信息以及受保护的推文。
有趣的是,Ibrahim Balic并未向推特官方反映这个漏洞,而是决定以政客和知名人仕的知名Twitter帐户的电话号码来创建Whatsapp群并且直接警告这些人仕。
Twitter的发言人表示:“我们这度重视这些报告,并且正在积极调查中,确保不会有人再次利用这个BUG。当我们知道这个BUG时,我们关停了非法访问他人信息的账户。” 换句话说,推特官方删除了Ibrahim Balic的推特账户。
目前推特并没有放出可以预防这个漏洞的更新。
