Тысячи приложений пропускают ключи Twitter API, что дает злоумышленникам возможность полностью завладеть этими учетными записями и использовать их для кражи личных данных. (откроется в новой вкладке) или другие виды кибермошенничества.
Выводы предоставлены экспертами по кибербезопасности CloudSEK, которые обнаружили в общей сложности 3207 мобильных приложений с утечкой действительных ключей потребителей, а также секретов потребителей для Twitter API.
Различные мобильные приложения предлагают интеграцию с Twitter, позволяя этим приложениям выполнять определенные действия вместо пользователей. Интеграция осуществляется через Twitter API и с помощью Consumer Keys and Secrets. Утечка данных такого типа позволяет приложениям потенциально позволять злоумышленникам публиковать сообщения в Твиттере, отправлять и читать прямые сообщения и т. д. Теоретически, объясняет CloudSEK, злоумышленник может собрать «армию» конечных точек Twitter. (откроется в новой вкладке) которые будут продвигать мошенничество или кампанию по распространению вредоносных программ путем твитов, ретвитов, обращения через DM и т. д.
Миллионы загрузок
Исследователи заявили, что рассматриваемые приложения включают в себя приложения для электронного банкинга, приложения для городского транспорта, радиотюнеры и тому подобное, и каждое из них было загружено от 50 000 до 5 миллионов раз.
Другими словами, миллионы учетных записей Twitter, скорее всего, находятся в опасности.
Все владельцы приложений были уведомлены, но большинство из них даже не подтвердили получение уведомлений, не говоря уже о решении проблемы. Сообщается, что Ford Motors — одна из компаний, которая быстро устранила проблему в своем приложении Ford Events.
Пока другие приложения не исправят проблему, список приложений не будет опубликован.
Исследователи добавили, что утечки API обычно являются результатом ошибок в разработке приложений. Иногда разработчики встраивают ключи аутентификации в Twitter API, а потом забывают их удалить.
Чтобы предотвратить такие утечки, CloudSEK рекомендует разработчикам использовать ротацию ключей API, которая через некоторое время сделает открытые ключи недействительными.
С помощью: BleepingКомпьютер (откроется в новой вкладке)
