Twitter 又出现了新漏洞。据 TechCrunch 报道,安全研究员 Ibrahim Balic 发现,通过 Twitter Android 应用的联系人上传功能,可以上传有意生成的电话号码列表。如此一来,恶意分子就可以找到目标用户的联系方式。Balic 匹配了 1700 万个电话号码,这些号码可以匹配到对应的 Twitter 账户。
Balic 表示,Twitter 的联系人上传功能不支持顺序的电话号码列表,原因很可能就是为了防止这种匹配。于是他一个接一个地生成了 20 多亿个电话号码,然后将这些号码随机化,并通过 Android 应用将号码上传到 Twitter。
TechCrunch 根据 Balic 匹配的电话号码样本,通过将随机选择的用户名与他匹配到的电话号码进行了比对,证实了他的发现。其中一个案例包括成功识别一名以色列政坛高级官员。
Balic 将包括政界人士和官员在内的许多知名 Twitter 用户的电话号码加入到一个 WhatsApp 群组,尝试直接警示相关用户。
对此,Twitter 发言人表示,他们正在努力“确保这个漏洞不会被再次利用”。
题图:123RF
