قال باحث أمني مغربي، إنه اكتشف ثغرة أمنية في تطبيق الشبكة الاجتماعية “تويتر” الموجه لنظام “آي أو إس” المشغل لأجهزة شركة “أبل” المحمولة، وتتيح هذه الثغرة اختراق حسابات المستخدمين دون الحصول على بيانات الدخول.
وذكر أحمد لكسايس البالغ من العمر 18 عامًا أنه اكتشف الثغرة منذ ما يقرب 20 يومًا، وأنه قام بتبليغ فريق الحماية لدى “تويتر” عنها وأن الرد كان إيجابيًا وهم الآن يعملون على إصلاحها.
وأوضح لكسايس أن الثغرة عبارة عن oAuth broken ولا علاقة لها ببروتوكول الاتصال الآمن “إتش تي تي بس إس” https.
وأضاف “لأن التطبيق يخزن Access Token في ملف غير مشفر في هاتف آي فون ويمكنك تصفحه بسهولة دون أن آي فون أو آي باد على جيلبريك.”
وفور نسخ هذا الكود ووضعه في آي فون آخر يمكن للمستخدم استعمال حساب هذا الشخص بكل سهولة وبدون الحصول على اسم المستخدم أو كلمة المرور.
وبالتالي اختراق أي حساب على “تويتر”.
وذكر أحمد لكسايس البالغ من العمر 18 عامًا أنه اكتشف الثغرة منذ ما يقرب 20 يومًا، وأنه قام بتبليغ فريق الحماية لدى “تويتر” عنها وأن الرد كان إيجابيًا وهم الآن يعملون على إصلاحها.
وأوضح لكسايس أن الثغرة عبارة عن oAuth broken ولا علاقة لها ببروتوكول الاتصال الآمن “إتش تي تي بس إس” https.
وأضاف “لأن التطبيق يخزن Access Token في ملف غير مشفر في هاتف آي فون ويمكنك تصفحه بسهولة دون أن آي فون أو آي باد على جيلبريك.”
وفور نسخ هذا الكود ووضعه في آي فون آخر يمكن للمستخدم استعمال حساب هذا الشخص بكل سهولة وبدون الحصول على اسم المستخدم أو كلمة المرور.
وبالتالي اختراق أي حساب على “تويتر”.
