iOS 版 WordPress 应用存在漏洞，账户令牌被泄露给第三方

WordPress 表示，它已经修复了其 iOS 应用中的一个漏洞，这个漏洞不小心将账户令牌暴露给第三方网站。

在 TechCrunch 网站看到的一封致客户的电子邮件中，这家内容管理巨头表示，“发现了 WordPress iOS 应用存在的一个问题，这个问题与它处理安全证书的方式有关。”“作为一种防范措施”，该公司已将受影响的账户与 WordPress iOS 应用断开。

WordPress 的安卓版应用没有受到这个问题的影响，自托管的 WordPress 安装程序也没有受到影响。

虽然此事不涉及用户名和密码，但在某些情况下，该应用会不小心向第三方发送敏感的账户令牌。

这些帐户令牌其实就是一小段代码，让用户在登录到某个应用或服务的同时，不必每次都输入密码。但如果遭到泄露或被盗，帐户令牌可以让任何人在不需要密码的情况下访问他们的帐户。

在与 WordPress 母公司 Automattic 取得联系后，我们还获得了一些额外信息。简而言之，这个漏洞是在其他站点从 WordPress.com 私有站点获取其托管的图像时发现的。例如，如果私有 WordPress.com 站点有文章或页面将一张图像寄存于 Flickr，那么该应用在获取图像时会向 Flickr 发送一个 WordPress.com 帐户令牌。

WordPress 的工作方式原本并不是这样子的。这意味着，账户令牌可能出现在第三方公司的日志中，这可能会让个人肆无忌惮地将目标对准 WordPress.com 账户。也就是说，帐户面临的风险是极小的，用户不应过度担心。

所有拥有私有站点的 WordPress iOS 用户都重置了他们的帐号令牌，因此不需要更改密码。

Automattic 发言人在发给 TechCrunch 网站的一封电子邮件中表示：“我们的工程师在 iOS 应用中发现了这个漏洞，没有迹象表明它曾被利用过。第一个受影响的版本是在 2017 年 1 月发布的，在 2019 年 3 月 15 日发布的 11.9.1 版本修复了这个问题。”

WordPress 暂时没有透露究竟有多少用户受到了此事的影响，但移动市场研究公司 Sensor Tower 在一封电子邮件中表示，自 2012 年以来，iOS 版 WordPress 应用的安装量达到 930 万次，仅去年的安装量就达 130 万次。

iOS 版 WordPress 用户应该尽快更新应用。

题图来源：布莱斯·德尔宾（Bryce Durbin）/TechCrunch

翻译：皓岳

WordPress says iOS app bug exposed account tokens to third parties