Twitter安卓应用程序错误使数百万个电话号码与帐户匹配

Twitter可能没有像Facebook那样被卷入主要的隐私和政治丑闻中，但它也有很多令人头疼的问题。其中大多数源于技术问题（即错误），这些问题会在用户不该泄漏的情况下泄漏用户的信息。最新的漏洞似乎几乎是一个简单的漏洞，只需通过Android上的Twitter应用程序上传大量随机生成的号码列表，即可将电话号码与用户匹配。

该漏洞是由安全研究员易卜拉欣·巴利奇（Ibrahim Balic）在两个月的时间内发现并测试的。Balic生成了数百万个电话号码，并以非顺序的方式排列它们，以绕过Twitter旨在严格阻止这种钓鱼尝试的安全措施。显然，触发该错误非常容易。

Twitter允许用户上传联系人的电话号码，以检查他们是否具有Twitter帐户并进行连接。Balic能够将1,700万个生成的电话号码与Twitter用户帐户进行匹配，其中一些已被TechCrunch确认。Twitter的网络界面上没有大文件。

Balic并未向Twitter报告此事，但在WhatsApp组中向受影响的用户发出了警报。他说，Twitter已于12月20日阻止了这种尝试，公司发言人证实，它已暂停使用这种方式利用该系统的帐户。它没有确认实际的错误或已采取的措施以确保联系人上传功能不会再次被这种方式利用。

此漏洞可能与本周公开宣布的Twitter无关，也影响了Android应用。这被更多地描述为一个错误，需要更多的主动代码注入，而不是滥用Twitter本身提供的功能。无论如何，它都属于今年报告的Twitter漏洞列表，其中一些仅影响社交网络的Android应用程序。