მოწყვლადობის ექსპლუატირება შეიძლება Twitter – ის პროფილების გატეხვისთვის ან სხვა აპლიკაციების კომპრომეტირებისთვის.
ფრაუნგოფერის კვლევითი ინსტიტუტის თანამშრომლებმა (Fraunhofer-Institut für Sichere Informationstechnologie) აცხადებდნენ Twitter API – ს კოდში არსებული პრობლემების შესახებ, რომელიც აქამდე გამოიყენება iOS აპლიკაციებში. „Log-in with Twitter“ – ის ფუნქციის მეშვეობით სისუსტე შიეძლება იყოს გამოყენებული MitM თავდასხმაში სხვა აპლიკაციების კომპრომეტირებისთვის.
პრობლემა იყო აღმოჩენილი TwitterKit ბიბლიოთეკაში, რომელიც მოგვიანებით Twitter-ზე იყო შეცვლილი. გერმანიაში 2000 ყველაზე პოპულარულ iOS აპლიკაციებიდან 45 – ში იყო გამოვლენილი სისუსტის კოდები.
მკვლევრების მოსაზრებით, მოწყვლადი მოწყობილობების რაოდენობა მსოფლიოში შესაძლოა აღწევდეს ათობით ათასებს. მოწყვლად აპლიკაციებს განეკუთვნება სიახლეების კითხვის პროგრამები და ასევე სერვისები, რომლებიც ავტორიზაციას ახდენენ Twitter-ის წვდომის ტოკენის მეშვეობით.
CVE-2019-16263 მოწყვლადობა TwitterKit 3.4.2 – სა და უფრო ადრინდელ ვერსიებში iOS – ზე გამოწვეულია api.twitter.com ლეგიტიმობის არაკორექტული შემოწმების TSL სერტიფიკატით. სისუსტის ექსპლოიტისთვის ბოროტმოქმედს თავდაპირველად სჭირდება Wi-fi-ზე წვდომის მიღება. როცა მსხვერპლი შევა კომპრომეტირებულ უკაბელო ქსელში, ბოროტმოქმედს შეუძლია მომხმარებლის Twitter OAuth ტოკენის მიღება.
2018 წლის ოქტომბერში Twitter – მა განაცხადა უარი Twitter Kit ბიბლიოთეკის გამოყენებაზე და იგი ალტერნატიული ბიბლიოთეკებით ჩაანაცვლა. მაგრამ, ამასთან ერთად კომპანიამ დატოვა ძველი კოდი თავის GitHub-ის რეპოზიტორიში, სადაც არ იყოს მითითებული არსებული უსაფრთხოების პრობლემების შესახებ. მკვლევარებმა ა API-ს მოწყვლადობის შესახებ კომპანიას აცნობეს ჯერ კიდევ 2019 წლის მაისში. Twitter-მა დაადასტურა მოწყვლადობა, მაგრამ არსებული ბიბლიოთეკისთვის პატჩი არ გამოუშვია. ამის სანაცვლოდ კომპანიამ განახლებული ვერსიის API-ს
