Разработчики Twitter предупредили, что пользователям Twitter для Android нужно срочно обновить приложение или временно перейти на использование браузерной версии. Дело в том, что они обнаружили и исправили опасную уязвимость, которая затрагивала только версию Twitter для Android. Пользователей уже уведомляют о баге по электронной почте и непосредственно через само приложение.
В компании не уточняют, откуда именно узнали об уязвимости (нашли баг сами, или получили предупреждение от стороннего ИБ-специалиста). Известно, что проблема могла быть использована для получения личной информации жертвы, такой как личные сообщения, защищенные твиты и данные о местоположении. Также с помощью этого бага можно перехватить контроль над чужой учетной записью и писать твиты или личные сообщения от лица жертвы.
Разработчики успокаивают, что пока случаев эксплуатации уязвимости зафиксировано не было (хотя полностью исключить такую возможность все же нельзя), и пишут, что для получения доступа к личной информации пользователя, злоумышленнику придется пройти «через сложный процесс, включающий вставку вредоносного кода в ограниченные области хранилища приложения Twitter».
Хотя технические детали бага пока не раскрываются, проблема была исправлена в версии 7.93.4 (выпущена 4 ноября 2019 года для KitKat), а также в версии 8.18 (выпущена 21 октября 2019 года для Lollipop и новее). Также в компании напомнили, что Twitter более не поддерживается на Android старше версии KitKat.