Tausende mobile Apps geben Twitter-API-Schlüssel preis – einige davon geben Angreifern die Möglichkeit, auf die Twitter-Konten von Benutzern dieser Anwendungen zuzugreifen oder diese zu übernehmen und eine Bot-Armee zur Verbreitung von Desinformation, Spam und Malware über die Social-Media-Plattform zusammenzustellen.
Forscher des in Indien ansässigen Unternehmens CloudSEK sagten, sie hätten insgesamt 3,207 mobile Anwendungen identifiziert, die gültige Twitter Consumer Key- und Secret Key-Informationen preisgeben. Es wurde festgestellt, dass bei etwa 230 der Anwendungen auch OAuth-Zugriffstoken und Zugriffsgeheimnisse offengelegt wurden.
Zusammen bieten die Informationen Angreifern die Möglichkeit, auf die Twitter-Konten der Benutzer dieser Anwendungen zuzugreifen und verschiedene Aktionen auszuführen. Dazu gehört das Lesen von Nachrichten; Retweeten, Liken oder Löschen von Nachrichten im Namen des Benutzers; Follower entfernen oder neuen Konten folgen; und zu den Kontoeinstellungen gehen und Dinge wie das Ändern des Anzeigebildes tun, sagte CloudSEK.
Anwendungsentwicklerfehler
Der Anbieter führte das Problem darauf zurück, dass Anwendungsentwickler die Authentifizierungsdaten während des Entwicklungsprozesses in ihrer mobilen Anwendung speicherten, damit sie mit der Twitter-API interagieren können. Die API bietet Drittentwicklern die Möglichkeit, die Funktionen und Daten von Twitter in ihre Anwendungen einzubetten.
„Wenn beispielsweise eine Gaming-App Ihren Highscore direkt in Ihrem Twitter-Feed veröffentlicht, wird sie von der Twitter-API unterstützt“, sagte CloudSEK in einem Bericht über seine Ergebnisse. Entwickler versäumen es jedoch oft, die Authentifizierungsschlüssel zu entfernen, bevor sie die App in einen mobilen App-Store hochladen, wodurch Twitter-Benutzer einem erhöhten Risiko ausgesetzt werden, so der Sicherheitsanbieter.
„Das Offenlegen eines ‚All Access‘-API-Schlüssels bedeutet im Wesentlichen, den Schlüssel zur Haustür preiszugeben“, sagt Scott Gerlach, Mitbegründer und CSO bei StackHawk, einem Anbieter von API-Sicherheitstestdiensten. „Sie müssen verstehen, wie man den Benutzerzugriff auf eine API verwaltet und wie man den Zugriff auf die API sicher bereitstellt. Wenn Sie das nicht verstehen, stehen Sie weit hinter der Acht.“
CloudSEK identifiziert Es gibt mehrere Möglichkeiten, wie Angreifer die offengelegten API-Schlüssel missbrauchen können und Token. Durch die Einbettung in ein Skript könnte ein Gegner möglicherweise eine Twitter-Bot-Armee zusammenstellen, um Desinformation in großem Maßstab zu verbreiten. „Mehrere Kontoübernahmen können genutzt werden, um gleichzeitig die gleiche Melodie zu singen und die Botschaft zu wiederholen, die ausgezahlt werden muss“, warnten die Forscher. Angreifer könnten auch verifizierte Twitter-Konten nutzen, um Malware und Spam zu verbreiten und automatisierte Phishing-Angriffe durchzuführen.
Das von CloudSEK identifizierte Twitter-API-Problem ähnelt zuvor gemeldeten Fällen geheimer API-Schlüssel versehentlich durchgesickert oder freigelegt wurde, sagt Yaniv Balmas, Vizepräsident für Forschung bei Salt Security. „Der Hauptunterschied zwischen diesem Fall und den meisten vorherigen besteht darin, dass das größte Risiko normalerweise bei der Anwendung/dem Anbieter liegt, wenn ein API-Schlüssel offengelegt wird.“
Nehmen wir zum Beispiel die auf GitHub offengelegten AWS-S3-API-Schlüssel, sagt er. „Da Benutzer in diesem Fall jedoch zulassen, dass die mobile Anwendung ihre eigenen Twitter-Konten verwendet, sind sie aufgrund des Problems tatsächlich derselben Risikostufe ausgesetzt wie die Anwendung selbst.“
Solche Lecks geheimer Schlüssel eröffnen das Potenzial für zahlreiche mögliche Missbräuche und Angriffsszenarien, sagt Balmas.
Anstieg mobiler/IoT-Bedrohungen
Der Bericht von CloudSEK kommt in derselben Woche wie ein neuer Bericht von Verizon Dies zeigte einen Anstieg der großen Cyberangriffe auf Mobil- und IoT-Geräte um 22 % gegenüber dem Vorjahr. In dem Bericht von Verizon, der auf einer Umfrage unter 632 IT- und Sicherheitsexperten basiert, gaben 23 % der Befragten an, dass in ihren Unternehmen in den letzten 12 Monaten eine größere Kompromittierung der mobilen Sicherheit aufgetreten sei. Die Umfrage zeigte ein hohes Maß an Besorgnis über mobile Sicherheitsbedrohungen, insbesondere im Einzelhandel, im Finanzwesen, im Gesundheitswesen, in der Fertigung und im öffentlichen Sektor. Verizon führte den Anstieg auf die Verlagerung hin zu Remote- und Hybridarbeit in den letzten zwei Jahren und die daraus resultierende explosionsartige Nutzung nicht verwalteter Heimnetzwerke und persönlicher Geräte für den Zugriff auf Unternehmensressourcen zurück.
„Angriffe auf mobile Geräte – einschließlich gezielter Angriffe – nehmen weiter zu, ebenso wie die Verbreitung mobiler Geräte für den Zugriff auf Unternehmensressourcen“, sagt Mike Riley, Senior Solution Specialist, Enterprise Security bei Verizon Business. „Was auffällt, ist die Tatsache, dass die Angriffe im Vergleich zum Vorjahr zunehmen, wobei die Befragten angaben, dass die Schwere mit der Zunahme der Anzahl mobiler/IoT-Geräte zugenommen hat.“
Die größten Auswirkungen von Angriffen auf Mobilgeräte auf Unternehmen seien Datenverlust und Ausfallzeiten gewesen, fügt er hinzu.
Auch Phishing-Kampagnen, die auf mobile Geräte abzielen, haben in den letzten zwei Jahren stark zugenommen. Telemetriedaten, die Lookout von über 200 Millionen Geräten und 160 Millionen Apps gesammelt und analysiert hat, zeigten, dass 15 % der Unternehmensbenutzer und 47 % der Verbraucher im Jahr 2021 in jedem Quartal mindestens einen mobilen Phishing-Angriff erlebten – ein Anstieg von 9 % bzw. 30 %. aus dem Vorjahr.
„Wir müssen Sicherheitstrends auf Mobilgeräten im Zusammenhang mit dem Schutz von Daten in der Cloud betrachten“, sagt Hank Schless, Senior Manager für Sicherheitslösungen bei Lookout. „Die Sicherung des Mobilgeräts ist ein wichtiger erster Schritt, aber um Ihr Unternehmen und seine Daten vollständig zu schützen, müssen Sie in der Lage sein, das mobile Risiko als eines der vielen Signale zu nutzen, die Ihre Sicherheitsrichtlinien für den Zugriff auf Daten in der Cloud, vor Ort, beeinflussen.“ und private Apps.“
