Miles de aplicaciones móviles que filtran claves API de Twitter

Miles de aplicaciones móviles están filtrando claves API de Twitter, algunas de las cuales brindan a los adversarios una forma de acceder o tomar el control de las cuentas de Twitter de los usuarios de estas aplicaciones y reunir un ejército de bots para difundir desinformación, spam y malware a través de la plataforma de redes sociales.

Investigadores de CloudSEK, con sede en India, dijeron que habían identificado un total de 3,207 aplicaciones móviles que filtraban información válida de clave de consumidor y clave secreta de Twitter. Se encontró que unas 230 de las aplicaciones filtraban tokens de acceso OAuth y también secretos de acceso.

En conjunto, la información brinda a los atacantes una forma de acceder a las cuentas de Twitter de los usuarios de estas aplicaciones y realizar una variedad de acciones. Esto incluye leer mensajes; retuitear, dar me gusta o eliminar mensajes en nombre del usuario; eliminar seguidores o seguir nuevas cuentas; e ir a la configuración de la cuenta y hacer cosas como cambiar la imagen de visualización, dijo CloudSEK.

Error del desarrollador de aplicaciones

El proveedor atribuyó el problema a que los desarrolladores de aplicaciones guardaron las credenciales de autenticación dentro de su aplicación móvil durante el proceso de desarrollo para que pudieran interactuar con la API de Twitter. La API brinda a los desarrolladores externos una forma de integrar la funcionalidad y los datos de Twitter en sus aplicaciones.

“Por ejemplo, si una aplicación de juegos publica directamente su puntaje más alto en su feed de Twitter, funciona con la API de Twitter”, dijo CloudSEK en un informe sobre sus hallazgos. Sin embargo, a menudo, los desarrolladores no eliminan las claves de autenticación antes de cargar la aplicación en una tienda de aplicaciones móviles, lo que expone a los usuarios de Twitter a un mayor riesgo, dijo el proveedor de seguridad.

“Exponer una clave de API de 'acceso total' es esencialmente regalar las llaves de la puerta de entrada”, dice Scott Gerlach, cofundador y CSO de StackHawk, un proveedor de servicios de prueba de seguridad de API. “Debe comprender cómo administrar el acceso de los usuarios a una API y cómo proporcionar acceso seguro a la API. Si no entiendes eso, te has puesto muy por detrás de la bola ocho”.

CloudSEK identificado múltiples formas en que los atacantes pueden abusar de las claves API expuestas y ficha. Al incorporarlos en un script, un adversario podría reunir potencialmente un ejército de bots de Twitter para difundir desinformación a gran escala. “Se pueden usar múltiples adquisiciones de cuentas para cantar la misma melodía en tándem, reiterando el mensaje que debe transmitirse”, advirtieron los investigadores. Los atacantes también podrían usar cuentas de Twitter verificadas para propagar malware y spam y para llevar a cabo ataques de phishing automatizados.

El problema de la API de Twitter que CloudSEK identificó es similar a las instancias informadas anteriormente de claves de API secretas haber sido filtrado o expuesto por error, dice Yaniv Balmas, vicepresidente de investigación de Salt Security. “La principal diferencia entre este caso y la mayoría de los anteriores es que, por lo general, cuando una clave API queda expuesta, el mayor riesgo es para la aplicación o el proveedor”.

Tome las claves de API de AWS S3 expuestas en GitHub, por ejemplo, dice. “Sin embargo, en este caso, dado que los usuarios permiten que la aplicación móvil use sus propias cuentas de Twitter, el problema los pone en el mismo nivel de riesgo que la propia aplicación”.

Tales filtraciones de claves secretas abren el potencial para numerosos posibles abusos y escenarios de ataque, dice Balmas.

Aumento de las amenazas móviles/IoT

El informe de CloudSEK llega la misma semana que un nuevo informe de Verizon que destacó un aumento interanual del 22 % en los principales ataques cibernéticos que involucran dispositivos móviles y de IoT. El informe de Verizon, basado en una encuesta de 632 profesionales de TI y seguridad, mostró que el 23% de los encuestados dijeron que sus organizaciones experimentaron un importante compromiso de seguridad móvil en los últimos 12 meses. La encuesta mostró un alto nivel de preocupación por las amenazas a la seguridad móvil, especialmente en los sectores minorista, financiero, sanitario, manufacturero y público. Verizon atribuyó el aumento al cambio al trabajo remoto e híbrido en los últimos dos años y la explosión resultante en el uso de redes domésticas no administradas y dispositivos personales para acceder a los activos empresariales.

“Los ataques a dispositivos móviles, incluidos los ataques dirigidos, continúan aumentando, al igual que la proliferación de dispositivos móviles para acceder a los recursos corporativos”, dice Mike Riley, especialista sénior en soluciones de seguridad empresarial de Verizon Business. "Lo que destaca es el hecho de que los ataques aumentan año tras año, y los encuestados afirman que la gravedad ha aumentado junto con el aumento en la cantidad de dispositivos móviles/IoT".

El mayor impacto para las organizaciones de los ataques a dispositivos móviles fue la pérdida de datos y el tiempo de inactividad, agrega.

Las campañas de phishing dirigidas a dispositivos móviles también se han disparado en los últimos dos años. La telemetría que Lookout recopiló y analizó de más de 200 millones de dispositivos y 160 millones de aplicaciones mostró que el 15 % de los usuarios empresariales y el 47 % de los consumidores experimentaron al menos un ataque de phishing móvil en cada trimestre en 2021, un aumento del 9 % y 30 %, respectivamente. del año anterior.

“Necesitamos analizar las tendencias de seguridad en dispositivos móviles en el contexto de la protección de datos en la nube”, dice Hank Schless, gerente sénior de soluciones de seguridad en Lookout. “Proteger el dispositivo móvil es un primer paso importante, pero para proteger completamente su organización y sus datos, debe poder utilizar el riesgo móvil como una de las muchas señales que alimentan sus políticas de seguridad para acceder a los datos en la nube, en las instalaciones. y aplicaciones privadas”.