Tusindvis af mobilapps lækker Twitter API-nøgler - hvoraf nogle giver modstandere en måde at få adgang til eller overtage Twitter-konti for brugere af disse applikationer og samle en bothær til at sprede desinformation, spam og malware via den sociale medieplatform.
Forskere fra Indien-baserede CloudSEK sagde, at de havde identificeret i alt 3,207 mobilapplikationer, der lækkede gyldige Twitter-forbrugernøgler og hemmelige nøgleoplysninger. Omkring 230 af applikationerne blev fundet lække OAuth-adgangstokens og adgangshemmeligheder.
Sammen giver oplysningerne angribere en måde at få adgang til Twitter-konti for brugerne af disse applikationer og udføre en række handlinger. Dette inkluderer læsning af beskeder; retweete, like eller slette beskeder på brugerens vegne; fjerne følgere eller følge nye konti; og gå til kontoindstillinger og gøre ting som at ændre skærmbilledet, sagde CloudSEK.
Applikationsudviklerfejl
Sælgeren tilskrev problemet til applikationsudviklere, der gemmer godkendelsesoplysningerne i deres mobilapplikation under udviklingsprocessen, så de kan interagere med Twitters API. API'en giver tredjepartsudviklere en måde at integrere Twitters funktionalitet og data i deres applikationer.
"For eksempel, hvis en gaming-app poster din høje score på dit Twitter-feed direkte, er den drevet af Twitter API," sagde CloudSEK i en rapport om sine resultater. Ofte undlader udviklere dog at fjerne godkendelsesnøglerne, før de uploader appen til en mobil appbutik, og derved udsætter Twitter-brugere for øget risiko, sagde sikkerhedsleverandøren.
"At blotlægge en 'al access' API-nøgle er i bund og grund at give nøglerne til hoveddøren væk," siger Scott Gerlach, medstifter og CSO hos StackHawk, en udbyder af API-sikkerhedstesttjenester. "Du skal forstå, hvordan man administrerer brugeradgang til en API, og hvordan man sikkert giver adgang til API'en. Hvis du ikke forstår det, har du sat dig selv langt bagved otte-bolden.”
CloudSEK identificeret flere måder, hvorpå angribere kan misbruge de udsatte API-nøgler og token. Ved at indlejre dem i et script, kunne en modstander potentielt samle en Twitter-bothær for at sprede desinformation i masseskala. "Flere kontoovertagelser kan bruges til at synge den samme melodi i tandem og gentage den besked, der skal udbetales," advarede forskerne. Angribere kunne også bruge verificerede Twitter-konti til at sprede malware og spam og til at udføre automatiske phishing-angreb.
Twitter API-problemet, som CloudSEK identificerede, er beslægtet med tidligere rapporterede tilfælde af hemmelige API-nøgler ved en fejl bliver lækket eller blotlagt, siger Yaniv Balmas, vicepræsident for forskning hos Salt Security. "Den største forskel mellem denne sag og de fleste af de foregående er, at når en API-nøgle efterlades blottet, er den største risiko for applikationen/leverandøren."
Tag for eksempel AWS S3 API-nøglerne udstillet på GitHub, siger han. "I dette tilfælde, men da brugere tillader mobilapplikationen at bruge deres egne Twitter-konti, sætter problemet dem faktisk på samme risikoniveau som selve applikationen."
Sådanne læk af hemmelige nøgler åbner potentialet for adskillige mulige misbrug og angrebsscenarier, siger Balmas.
Stigning i mobil/IoT-trusler
CloudSEKs rapport kommer samme uge som en ny rapport fra Verizon som fremhævede en stigning på 22 % år-til-år i større cyberangreb, der involverede mobil- og IoT-enheder. Verizons rapport, baseret på en undersøgelse blandt 632 it- og sikkerhedsprofessionelle, havde 23 % af de adspurgte, der sagde, at deres organisationer har oplevet et stort mobilsikkerhedskompromis i de sidste 12 måneder. Undersøgelsen viste en høj grad af bekymring over mobile sikkerhedstrusler, især i detailhandelen, finanssektoren, sundhedssektoren, fremstillingssektoren og den offentlige sektor. Verizon tilskrev stigningen til skiftet til fjern- og hybridarbejde i løbet af de sidste to år og den resulterende eksplosion i brugen af ikke-administrerede hjemmenetværk og personlige enheder til at få adgang til virksomhedens aktiver.
"Angreb på mobile enheder - herunder målrettede angreb - fortsætter med at stige, og det samme gør udbredelsen af mobile enheder for at få adgang til virksomhedens ressourcer," siger Mike Riley, senior løsningsspecialist, enterprise security hos Verizon Business. "Det, der skiller sig ud, er det faktum, at angreb er steget år-til-år, hvor respondenterne siger, at alvoren er vokset sammen med stigningen i antallet af mobile/IoT-enheder."
Den største påvirkning for organisationer fra angreb på mobile enheder var datatab og nedetid, tilføjer han.
Phishing-kampagner rettet mod mobile enheder er også steget kraftigt i løbet af de sidste to år. Telemetri, som Lookout indsamlede og analyserede fra over 200 millioner enheder og 160 millioner apps, viste, at 15 % af virksomhedens brugere og 47 % af forbrugerne oplevede mindst ét mobil-phishing-angreb i hvert kvartal i 2021 – en stigning på henholdsvis 9 % og 30 %, fra det foregående år.
"Vi er nødt til at se på sikkerhedstendenser på mobil i sammenhæng med at beskytte data i skyen," siger Hank Schless, senior manager, sikkerhedsløsninger hos Lookout. "Sikring af den mobile enhed er et vigtigt første skridt, men for fuldt ud at sikre din organisation og dens data, skal du være i stand til at bruge mobilrisiko som et af de mange signaler, der leverer dine sikkerhedspolitikker for adgang til data i skyen, on-prem , og private apps."
