Χιλιάδες εφαρμογές για κινητά διαρρέουν κλειδιά API Twitter

Χιλιάδες εφαρμογές για κινητά διαρρέουν κλειδιά API του Twitter - ορισμένες από τις οποίες δίνουν στους αντιπάλους έναν τρόπο πρόσβασης ή εξαγοράς των λογαριασμών Twitter των χρηστών αυτών των εφαρμογών και συγκροτούν έναν στρατό bot για τη διάδοση παραπληροφόρησης, ανεπιθύμητης αλληλογραφίας και κακόβουλου λογισμικού μέσω της πλατφόρμας κοινωνικών μέσων.

Ερευνητές από το CloudSEK που εδρεύει στην Ινδία δήλωσαν ότι εντόπισαν συνολικά 3,207 εφαρμογές για κινητά που διέρρευσαν έγκυρες πληροφορίες Twitter Consumer Key και Secret Key. Περίπου 230 από τις εφαρμογές βρέθηκαν να διαρρέουν διακριτικά πρόσβασης OAuth και μυστικά πρόσβασης.

Μαζί, οι πληροφορίες δίνουν στους επιτιθέμενους έναν τρόπο πρόσβασης στους λογαριασμούς Twitter των χρηστών αυτών των εφαρμογών και να πραγματοποιήσουν μια ποικιλία ενεργειών. Αυτό περιλαμβάνει την ανάγνωση μηνυμάτων. retweet, like ή διαγραφή μηνυμάτων για λογαριασμό του χρήστη. αφαίρεση ακολούθων ή παρακολούθηση νέων λογαριασμών. και πηγαίνοντας στις ρυθμίσεις λογαριασμού και κάνοντας πράγματα όπως η αλλαγή της εικόνας εμφάνισης, είπε το CloudSEK.

Σφάλμα προγραμματιστή εφαρμογής

Ο προμηθευτής απέδωσε το πρόβλημα στους προγραμματιστές εφαρμογών που αποθηκεύουν τα διαπιστευτήρια ελέγχου ταυτότητας στην εφαρμογή τους για κινητά κατά τη διαδικασία ανάπτυξης, ώστε να μπορούν να αλληλεπιδρούν με το API του Twitter. Το API δίνει σε τρίτους προγραμματιστές έναν τρόπο να ενσωματώσουν τη λειτουργικότητα και τα δεδομένα του Twitter στις εφαρμογές τους.

«Για παράδειγμα, εάν μια εφαρμογή παιχνιδιών δημοσιεύει την υψηλή βαθμολογία σας απευθείας στη ροή σας στο Twitter, τροφοδοτείται από το API του Twitter», δήλωσε η CloudSEK σε μια αναφορά για τα ευρήματά της. Συχνά, ωστόσο, οι προγραμματιστές αποτυγχάνουν να αφαιρέσουν τα κλειδιά ελέγχου ταυτότητας πριν ανεβάσουν την εφαρμογή σε ένα κατάστημα εφαρμογών για κινητά, εκθέτοντας έτσι τους χρήστες του Twitter σε αυξημένο κίνδυνο, είπε ο προμηθευτής ασφαλείας.

«Η έκθεση ενός κλειδιού API «all access» ουσιαστικά δίνει τα κλειδιά στην μπροστινή πόρτα», λέει ο Scott Gerlach, συνιδρυτής και CSO στο StackHawk, πάροχο υπηρεσιών δοκιμών ασφαλείας API. «Πρέπει να κατανοήσετε πώς να διαχειριστείτε την πρόσβαση των χρηστών σε ένα API και πώς να παρέχετε με ασφάλεια πρόσβαση στο API. Αν δεν το καταλαβαίνεις αυτό, έχεις βάλει τον εαυτό σου πολύ πίσω από τις οκτώ μπάλα».

Αναγνωρίστηκε το CloudSEK πολλαπλούς τρόπους με τους οποίους οι εισβολείς μπορούν να κάνουν κατάχρηση των εκτεθειμένων κλειδιών API και μάρκα. Με την ενσωμάτωσή τους σε ένα σενάριο, ένας αντίπαλος θα μπορούσε ενδεχομένως να συγκεντρώσει έναν στρατό ρομπότ Twitter για να διαδώσει παραπληροφόρηση σε μαζική κλίμακα. «Πολλαπλές εξαγορές λογαριασμών μπορούν να χρησιμοποιηθούν για να τραγουδήσουμε την ίδια μελωδία παράλληλα, επαναλαμβάνοντας το μήνυμα που πρέπει να εκταμιευθεί», προειδοποίησαν οι ερευνητές. Οι εισβολείς θα μπορούσαν επίσης να χρησιμοποιήσουν επαληθευμένους λογαριασμούς Twitter για να διαδώσουν κακόβουλο λογισμικό και ανεπιθύμητα μηνύματα και να πραγματοποιήσουν αυτοματοποιημένες επιθέσεις ηλεκτρονικού "ψαρέματος" (phishing).

Το ζήτημα του Twitter API που εντόπισε το CloudSEK είναι παρόμοιο με προηγούμενα αναφερθείσες περιπτώσεις μυστικών κλειδιών API διαρροή ή έκθεση κατά λάθος, λέει ο Yaniv Balmas, αντιπρόεδρος έρευνας στην Salt Security. "Η κύρια διαφορά μεταξύ αυτής της περίπτωσης και των περισσότερων από τις προηγούμενες είναι ότι συνήθως όταν ένα κλειδί API αφήνεται εκτεθειμένο, ο κύριος κίνδυνος είναι για την εφαρμογή/προμηθευτή."

Πάρτε τα κλειδιά API AWS S3 που είναι εκτεθειμένα στο GitHub, για παράδειγμα, λέει. «Σε αυτή την περίπτωση, ωστόσο, δεδομένου ότι οι χρήστες επιτρέπουν στην εφαρμογή για κινητά να χρησιμοποιεί τους δικούς τους λογαριασμούς Twitter, το ζήτημα τους τοποθετεί στην πραγματικότητα στο ίδιο επίπεδο κινδύνου με την ίδια την εφαρμογή».

Τέτοιες διαρροές μυστικών κλειδιών ανοίγουν τη δυνατότητα για πολλές πιθανές καταχρήσεις και σενάρια επίθεσης, λέει ο Balmas.

Αύξηση των απειλών για κινητά/IoT

Η αναφορά του CloudSEK έρχεται την ίδια εβδομάδα με μια νέα αναφορά από τη Verizon που ανέδειξε μια αύξηση 22% από έτος σε έτος στις μεγάλες κυβερνοεπιθέσεις που αφορούν κινητές συσκευές και συσκευές IoT. Η έκθεση της Verizon, βασισμένη σε έρευνα 632 επαγγελματιών πληροφορικής και ασφάλειας, είχε το 23% των ερωτηθέντων να δηλώσουν ότι οι οργανισμοί τους αντιμετώπισαν έναν σημαντικό συμβιβασμό στην ασφάλεια κινητών τηλεφώνων τους τελευταίους 12 μήνες. Η έρευνα έδειξε υψηλό επίπεδο ανησυχίας σχετικά με τις απειλές για την ασφάλεια των κινητών, ιδίως στον τομέα του λιανικού εμπορίου, του χρηματοοικονομικού τομέα, της υγειονομικής περίθαλψης, της μεταποίησης και του δημόσιου τομέα. Η Verizon απέδωσε την αύξηση στη στροφή προς την απομακρυσμένη και υβριδική εργασία τα τελευταία δύο χρόνια και την προκύπτουσα έκρηξη στη χρήση μη διαχειριζόμενων οικιακών δικτύων και προσωπικών συσκευών για πρόσβαση σε εταιρικά περιουσιακά στοιχεία.

«Οι επιθέσεις σε κινητές συσκευές — συμπεριλαμβανομένων στοχευμένων επιθέσεων — συνεχίζουν να αυξάνονται, όπως και ο πολλαπλασιασμός των κινητών συσκευών για πρόσβαση σε εταιρικούς πόρους», λέει ο Mike Riley, ανώτερος ειδικός λύσεων, εταιρική ασφάλεια στην Verizon Business. «Αυτό που ξεχωρίζει είναι το γεγονός ότι οι επιθέσεις αυξάνονται κάθε χρόνο, με τους ερωτηθέντες να δηλώνουν ότι η σοβαρότητα έχει αυξηθεί μαζί με την αύξηση του αριθμού των κινητών/IoT συσκευών».

Ο μεγαλύτερος αντίκτυπος για τους οργανισμούς από επιθέσεις σε κινητές συσκευές ήταν η απώλεια δεδομένων και ο χρόνος διακοπής λειτουργίας, προσθέτει.

Οι καμπάνιες ηλεκτρονικού "ψαρέματος" που στοχεύουν κινητές συσκευές έχουν αυξηθεί επίσης τα τελευταία δύο χρόνια. Η τηλεμετρία που συνέλεξε και ανέλυσε το Lookout από περισσότερες από 200 εκατομμύρια συσκευές και 160 εκατομμύρια εφαρμογές έδειξε ότι το 15% των εταιρικών χρηστών και το 47% των καταναλωτών βίωσαν τουλάχιστον μία επίθεση phishing σε κινητά σε κάθε τρίμηνο το 2021 — αύξηση 9% και 30% αντίστοιχα. από το προηγούμενο έτος.

«Πρέπει να εξετάσουμε τις τάσεις ασφάλειας στα κινητά στο πλαίσιο της προστασίας δεδομένων στο cloud», λέει ο Hank Schless, ανώτερος διευθυντής λύσεων ασφαλείας στο Lookout. «Η ασφάλιση της κινητής συσκευής είναι ένα σημαντικό πρώτο βήμα, αλλά για να ασφαλίσετε πλήρως τον οργανισμό σας και τα δεδομένα του, πρέπει να μπορείτε να χρησιμοποιήσετε τον κίνδυνο κινητής τηλεφωνίας ως ένα από τα πολλά σήματα που τροφοδοτούν τις πολιτικές ασφαλείας σας για την πρόσβαση σε δεδομένα στο cloud, on-prem και ιδιωτικές εφαρμογές."