تقوم الآلاف من تطبيقات الأجهزة المحمولة بتسريب مفاتيح Twitter API - بعضها يمنح الخصوم طريقة للوصول إلى حسابات Twitter لمستخدمي هذه التطبيقات أو الاستيلاء عليها وتجميع جيش روبوت لنشر المعلومات المضللة والبريد العشوائي والبرامج الضارة عبر منصة وسائل التواصل الاجتماعي.
قال باحثون من CloudSEK ومقرها الهند إنهم حددوا ما مجموعه 3,207 تطبيقًا للهاتف المحمول تسرّب معلومات صالحة على Twitter Consumer Key و Secret Key. تم العثور على حوالي 230 من التطبيقات تسريب رموز الوصول OAuth وأسرار الوصول أيضًا.
توفر المعلومات معًا للمهاجمين طريقة للوصول إلى حسابات Twitter لمستخدمي هذه التطبيقات وتنفيذ مجموعة متنوعة من الإجراءات. وهذا يشمل قراءة الرسائل. إعادة التغريد أو الإعجاب أو حذف الرسائل نيابة عن المستخدم ؛ إزالة المتابعين أو متابعة الحسابات الجديدة ؛ وقال CloudSEK والذهاب إلى إعدادات الحساب والقيام بأشياء مثل تغيير صورة العرض.
خطأ مطور التطبيق
عزا البائع المشكلة إلى مطوري التطبيقات الذين يحفظون بيانات اعتماد المصادقة داخل تطبيق الهاتف المحمول الخاص بهم أثناء عملية التطوير حتى يتمكنوا من التفاعل مع واجهة برمجة تطبيقات Twitter. توفر واجهة برمجة التطبيقات (API) لمطوري الطرف الثالث طريقة لتضمين وظائف Twitter وبياناته في تطبيقاتهم.
وقالت CloudSEK في تقرير عن النتائج التي توصلت إليها: "على سبيل المثال ، إذا نشر أحد تطبيقات الألعاب درجاتك العالية على موجز Twitter الخاص بك مباشرةً ، فإنه يتم تشغيله بواسطة Twitter API". في كثير من الأحيان ، على الرغم من ذلك ، يفشل المطورون في إزالة مفاتيح المصادقة قبل تحميل التطبيق إلى متجر تطبيقات الهاتف المحمول ، مما يعرض مستخدمي Twitter لمخاطر متزايدة ، كما قال بائع الأمن.
يقول سكوت جيرلاش ، الشريك المؤسس والمدير التنفيذي في StackHawk ، وهو مزود لخدمات اختبار الأمان لواجهة برمجة التطبيقات: "إن الكشف عن مفتاح واجهة برمجة تطبيقات" وصول كامل "هو في الأساس التخلي عن مفاتيح الباب الأمامي. "عليك أن تفهم كيفية إدارة وصول المستخدم إلى واجهة برمجة التطبيقات وكيفية توفير الوصول الآمن إلى واجهة برمجة التطبيقات. إذا كنت لا تفهم ذلك ، فقد وضعت نفسك وراء الكرة الثمانية ".
تم تحديد CloudSEK طرق متعددة يمكن للمهاجمين من خلالها إساءة استخدام مفاتيح واجهة برمجة التطبيقات المكشوفة ورمز. من خلال تضمينها في نص ، من المحتمل أن يقوم الخصم بتجميع جيش بوت على تويتر لنشر معلومات مضللة على نطاق واسع. وحذر الباحثون من أنه "يمكن استخدام عمليات الاستحواذ المتعددة على الحسابات للغناء نفس النغمة جنبًا إلى جنب ، مع تكرار الرسالة التي يجب صرفها". يمكن للمهاجمين أيضًا استخدام حسابات Twitter التي تم التحقق منها لنشر البرامج الضارة والبريد العشوائي وتنفيذ هجمات التصيد الآلي.
تعد مشكلة Twitter API التي حددتها CloudSEK مشابهة لمثيلات مفاتيح API السرية التي تم الإبلاغ عنها مسبقًا التسريب أو الانكشاف عن طريق الخطأكما يقول يانيف بالماس ، نائب رئيس الأبحاث في شركة Salt Security. "يتمثل الاختلاف الرئيسي بين هذه الحالة ومعظم الحالات السابقة في أنه عادةً عند ترك مفتاح واجهة برمجة التطبيقات مكشوفًا ، يكون الخطر الرئيسي على التطبيق / البائع."
خذ مفاتيح AWS S3 API المكشوفة على GitHub ، على سبيل المثال ، كما يقول. "ومع ذلك ، في هذه الحالة ، نظرًا لأن المستخدمين يسمحون لتطبيق الهاتف المحمول باستخدام حسابات Twitter الخاصة بهم ، فإن المشكلة تضعهم في الواقع في نفس مستوى المخاطرة مثل التطبيق نفسه."
يقول بالماس إن مثل هذه التسريبات للمفاتيح السرية تفتح احتمالية وقوع العديد من الانتهاكات المحتملة وسيناريوهات الهجوم.
تصاعد في تهديدات الأجهزة المحمولة / إنترنت الأشياء
يأتي تقرير CloudSEK في نفس الأسبوع مثل تقرير جديد من Verizon التي سلطت الضوء على زيادة بنسبة 22٪ على أساس سنوي في الهجمات الإلكترونية الرئيسية التي تشمل الأجهزة المحمولة وأجهزة إنترنت الأشياء. تقرير Verizon ، استنادًا إلى دراسة استقصائية شملت 632 متخصصًا في تكنولوجيا المعلومات والأمن ، قال 23٪ من المستجيبين إن مؤسساتهم قد تعرضت لخطر كبير في أمان الأجهزة المحمولة في الأشهر الـ 12 الماضية. أظهر الاستطلاع وجود مستوى عالٍ من القلق بشأن التهديدات الأمنية للأجهزة المحمولة خاصةً في قطاعات التجزئة ، والمالية ، والرعاية الصحية ، والتصنيع ، والقطاعات العامة. عزت Verizon الزيادة إلى التحول إلى العمل عن بعد والمختلط على مدى العامين الماضيين والانفجار الناتج في استخدام الشبكات المنزلية غير المُدارة والأجهزة الشخصية للوصول إلى أصول المؤسسة.
يقول مايك رايلي ، كبير المتخصصين في الحلول ، وأمن المؤسسات في شركة Verizon Business: "تستمر الهجمات على الأجهزة المحمولة - بما في ذلك الهجمات المستهدفة - في الازدياد ، وكذلك انتشار الأجهزة المحمولة للوصول إلى موارد الشركة". "ما يبرز هو حقيقة أن الهجمات تزداد عامًا بعد عام ، حيث ذكر المستجيبون أن الخطورة قد ازدادت جنبًا إلى جنب مع الزيادة في عدد الأجهزة المحمولة / أجهزة إنترنت الأشياء."
ويضيف أن التأثير الأكبر للمؤسسات من الهجمات على الأجهزة المحمولة كان فقدان البيانات ووقت التعطل.
كما ارتفعت أيضًا حملات التصيد الاحتيالي التي تستهدف الأجهزة المحمولة على مدار العامين الماضيين. أظهر القياس عن بُعد الذي جمعته Lookout وحللته من أكثر من 200 مليون جهاز و 160 مليون تطبيق أن 15٪ من مستخدمي المؤسسات و 47٪ من المستهلكين تعرضوا لهجوم تصيد احتيالي واحد على الأقل في كل ربع عام في عام 2021 - بزيادة 9٪ و 30٪ على التوالي ، من العام السابق.
يقول هانك شليس ، مدير أول لحلول الأمان في Lookout: "نحتاج إلى النظر في اتجاهات الأمان على الهاتف المحمول في سياق حماية البيانات في السحابة". "يعد تأمين الجهاز المحمول خطوة أولى مهمة ، ولكن لتأمين مؤسستك وبياناتها بالكامل ، يجب أن تكون قادرًا على استخدام مخاطر الهاتف المحمول كإحدى الإشارات العديدة التي تغذي سياسات الأمان الخاصة بك للوصول إلى البيانات في السحابة ، في مكان العمل ، والتطبيقات الخاصة. "
