twitter 又出现了新漏洞。据 techcrunch 报道,安全研究员 ibrahim balic 发现,通过 twitter android 应用的联系人上传功能,可以上传有意生成的电话号码列表。如此一来,恶意分子就可以找到目标用户的联系方式。balic 匹配了 1700 万个电话号码,这些号码可以匹配到对应的 twitter 账户。
balic 表示,twitter 的联系人上传功能不支持顺序的电话号码列表,原因很可能就是为了防止这种匹配。于是他一个接一个地生成了 20 多亿个电话号码,然后将这些号码随机化,并通过 android 应用将号码上传到 twitter。
techcrunch 根据 balic 匹配的电话号码样本,通过将随机选择的用户名与他匹配到的电话号码进行了比对,证实了他的发现。其中一个案例包括成功识别一名以色列政坛高级官员。
balic 将包括政界人士和官员在内的许多知名 twitter 用户的电话号码加入到一个 whatsapp 群组,尝试直接警示相关用户。
对此,twitter 发言人表示,他们正在努力 “确保这个漏洞不会被再次利用”。
题图:123rf
androidbugtwitter数据泄漏漏洞电话号码隐私