近期，Android版本的Twitter应用曝出一个漏洞，可被攻击者利用来获取敏感信息（消息、受保护的tweet和定位数据）或接管帐户。

该公司已通过电子邮件和应用推送通知受影响的用户，并向无法更新应用的用户推荐使用基于浏览器的平台版本。

该公司没有透露有关该漏洞的技术细节，只是表示，这个漏洞的利用非常复杂。

Twitter官方表示：“我们最近修复了一个针对Android版本Twitter的漏洞，这个漏洞可能会让攻击者看到私密的帐户信息或直接控制你的帐户（发送推文和私信）。对于存在漏洞的应用，攻击者通过一个复杂的过程（包括将恶意代码插入到Twitter应用的受限存储区域），可直接获取应用中的敏感信息（例如，私信、私密的Tweet、定位信息）。”

Twitter宣布，它目前尚没有在公网发现利用这一漏洞的痕迹。

“虽然我们还没有找到漏洞被利用的证据，但我们仍格外小心，将持续关注这个漏洞。”

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场：https://nosec.org/home/detail/3652.html
来源：https://securityaffairs.co/wordpress/95623/social-networks/twitter-app-android-flaw.html