该漏洞可能会让运行在同一设备上的恶意Android应用程序绕过Android的内置数据权限,虹吸存储在Twitter应用程序中的用户直接消息。但是,推特表示,该漏洞仅适用于Android 8(奥利奥)和Android 9(馅饼),并已得到修复。
Twitter的一位发言人告诉TechCrunch,一名安全研究人员“几周前”通过HackerOne报告了这个漏洞,Twitter将HackerOne用于其漏洞赏金计划。
“从那时起,我们一直在努力确保账户安全,”这位发言人说。“现在问题已经解决了,我们要让人们知道。”Twitter表示,它等待让用户知道,以防止有人在修复之前了解这个问题并利用它。
Twitter表示,绝大多数用户已经更新了他们的Twitter for Android应用程序,不再容易受到攻击。但该公司表示,约4%的用户仍在运行其应用程序的旧版本和易受攻击的版本,将通知用户尽快更新该应用程序。
安全问题的消息传出几周前,该公司遭到一名黑客的攻击,这名黑客获得了一个内部“管理”工具,该工具与另外两名同伙一起劫持了备受瞩目的Twitter账户,以传播一个承诺“让你的钱翻一番”的加密货币骗局。黑客和随后的骗局净赚了超过10万美元的诈骗资金。
司法部指控三人-包括一名未成年人-据称对这起事件负有责任。