Twitter Android應用程序錯誤使數(shù)百萬個電話號碼與帳戶匹配

Twitter可能沒有像Facebook那樣被卷入主要的隱私和政治丑聞中，但它也有很多令人頭疼的問題。其中大多數(shù)源于技術問題(即錯誤)，這些問題會在用戶不該泄漏的情況下泄漏用戶的信息。最新的漏洞似乎幾乎是一個簡單的漏洞，只需通過Android上的Twitter應用程序上傳大量隨機生成的號碼列表，即可將電話號碼與用戶匹配。

該漏洞是由安全研究員易卜拉欣·巴利奇(Ibrahim Balic)在兩個月的時間內(nèi)發(fā)現(xiàn)并測試的。Balic生成了數(shù)百萬個電話號碼，并以非順序的方式排列它們，以繞過Twitter旨在嚴格阻止這種釣魚嘗試的安全措施。顯然，觸發(fā)該錯誤非常容易。

Twitter允許用戶上傳聯(lián)系人的電話號碼，以檢查他們是否具有Twitter帳戶并進行連接。Balic能夠將1,700萬個生成的電話號碼與Twitter用戶帳戶進行匹配，其中一些已被TechCrunch確認。Twitter的網(wǎng)絡界面上沒有大文件。

Balic并未向Twitter報告此事，但在WhatsApp組中向受影響的用戶發(fā)出了警報。他說，Twitter已于12月20日阻止了這種嘗試，公司發(fā)言人證實，它已暫停使用這種方式利用該系統(tǒng)的帳戶。它沒有確認實際的錯誤或已采取的措施以確保聯(lián)系人上傳功能不會再次被這種方式利用。

此漏洞可能與本周公開宣布的Twitter無關，也影響了Android應用。這被更多地描述為一個錯誤，需要更多的主動代碼注入，而不是濫用Twitter本身提供的功能。無論如何，它都屬于今年報告的Twitter漏洞列表，其中一些僅影響社交網(wǎng)絡的Android應用程序。