iOS 版 WordPress 应用存在漏洞,账户令牌被泄露给第三方

下一篇文章

比特币价格一夜暴涨,一度站上 4900 美元

WordPress 表示,它已经修复了其 iOS 应用中的一个漏洞,这个漏洞不小心将账户令牌暴露给第三方网站。

在 TechCrunch 网站看到的一封致客户的电子邮件中,这家内容管理巨头表示,“发现了 WordPress iOS 应用存在的一个问题,这个问题与它处理安全证书的方式有关。”“作为一种防范措施”,该公司已将受影响的账户与 WordPress iOS 应用断开。

WordPress 的安卓版应用没有受到这个问题的影响,自托管的 WordPress 安装程序也没有受到影响。

虽然此事不涉及用户名和密码,但在某些情况下,该应用会不小心向第三方发送敏感的账户令牌。

这些帐户令牌其实就是一小段代码,让用户在登录到某个应用或服务的同时,不必每次都输入密码。但如果遭到泄露或被盗,帐户令牌可以让任何人在不需要密码的情况下访问他们的帐户。

在与 WordPress 母公司 Automattic 取得联系后,我们还获得了一些额外信息。简而言之,这个漏洞是在其他站点从 WordPress.com 私有站点获取其托管的图像时发现的。例如,如果私有 WordPress.com 站点有文章或页面将一张图像寄存于 Flickr,那么该应用在获取图像时会向 Flickr 发送一个 WordPress.com 帐户令牌。

WordPress 的工作方式原本并不是这样子的。这意味着,账户令牌可能出现在第三方公司的日志中,这可能会让个人肆无忌惮地将目标对准 WordPress.com 账户。也就是说,帐户面临的风险是极小的,用户不应过度担心。

所有拥有私有站点的 WordPress iOS 用户都重置了他们的帐号令牌,因此不需要更改密码。

Automattic 发言人在发给 TechCrunch 网站的一封电子邮件中表示:“我们的工程师在 iOS 应用中发现了这个漏洞,没有迹象表明它曾被利用过。第一个受影响的版本是在 2017 年 1 月发布的,在 2019 年 3 月 15 日发布的 11.9.1 版本修复了这个问题。”

WordPress 暂时没有透露究竟有多少用户受到了此事的影响,但移动市场研究公司 Sensor Tower 在一封电子邮件中表示,自 2012 年以来,iOS 版 WordPress 应用的安装量达到 930 万次,仅去年的安装量就达 130 万次。

iOS 版 WordPress 用户应该尽快更新应用。

题图来源:布莱斯·德尔宾(Bryce Durbin)/TechCrunch

翻译:皓岳

WordPress says iOS app bug exposed account tokens to third parties