Tuhanded mobiilirakendused lekivad Twitteri API võtmeid – mõned neist annavad vastastele võimaluse pääseda nende rakenduste kasutajate Twitteri kontodele juurde või need üle võtta ning koguvad robotite armee desinformatsiooni, rämpsposti ja pahavara levitamiseks sotsiaalmeediaplatvormi kaudu.
Indias asuva CloudSEKi teadlased teatasid, et on tuvastanud kokku 3,207 mobiilirakendust, millest lekib kehtiv Twitteri tarbijavõtme ja salajase võtme teave. Umbes 230 rakendusest leiti ka OAuthi juurdepääsulubade ja juurdepääsusaladuste lekkimine.
Üheskoos annab see teave ründajatele võimaluse pääseda juurde nende rakenduste kasutajate Twitteri kontodele ja teha mitmesuguseid toiminguid. See hõlmab sõnumite lugemist; kasutaja nimel sõnumite uuesti sättimine, meeldimine või kustutamine; jälgijate eemaldamine või uute kontode jälgimine; CloudSEK ütles, et minna konto seadetesse ja teha selliseid toiminguid nagu kuvapildi muutmine.
Rakenduse arendaja viga
Müüja omistas probleemi rakenduste arendajatele, kes salvestasid arendusprotsessi ajal oma mobiilirakenduses autentimismandaadid, et nad saaksid Twitteri API-ga suhelda. API annab kolmanda osapoole arendajatele võimaluse Twitteri funktsioonid ja andmed oma rakendustesse manustada.
"Näiteks kui mängurakendus postitab teie rekordi otse teie Twitteri voogu, töötab see Twitteri API-l," ütles CloudSEK oma tulemuste aruandes. Sageli aga ei õnnestu arendajatel enne rakenduse mobiilirakenduste poodi üleslaadimist autentimisvõtmeid eemaldada, ohustades sellega Twitteri kasutajaid, ütles turvamüüja.
"All access" API võtme paljastamine tähendab sisuliselt võtmete välisuksele loovutamist, " ütleb API turvatestiteenuste pakkuja StackHawki kaasasutaja ja CSO Scott Gerlach. "Peate mõistma, kuidas hallata kasutajate juurdepääsu API-le ja kuidas tagada turvaline juurdepääs API-le. Kui te sellest aru ei saa, olete end kaheksa palli taha pannud."
CloudSEK tuvastatud mitu võimalust, kuidas ründajad saavad paljastatud API-võtmeid kuritarvitada ja märk. Manustades need skripti, võib vastane potentsiaalselt kokku panna Twitteri robotite armee, et levitada massiliselt desinformatsiooni. "Mitme konto ülevõtmist saab kasutada sama viisi laulmiseks tandemina, korrates sõnumit, mis tuleb välja maksta," hoiatasid teadlased. Ründajad võivad kasutada ka kinnitatud Twitteri kontosid pahavara ja rämpsposti levitamiseks ning automatiseeritud andmepüügirünnakute läbiviimiseks.
Twitteri API probleem, mille CloudSEK tuvastas, sarnaneb varem teatatud salajaste API-võtmete juhtumitega lekib või paljastatakse ekslikult, ütleb Yaniv Balmas, Salt Security uuringute asepresident. "Peamine erinevus selle juhtumi ja enamiku eelmiste juhtumite vahel seisneb selles, et kui API-võti jäetakse avalikuks, on peamine oht rakendusele/müüjale."
Ta ütleb, et võtke näiteks GitHubis eksponeeritud AWS S3 API võtmed. "Kuid antud juhul lubavad kasutajad mobiilirakendusel kasutada oma Twitteri kontosid, seab probleem nad tegelikult samale riskitasemele kui rakendus ise."
Sellised salajaste võtmete lekked avavad võimaluse paljudeks võimalikeks kuritarvitusteks ja rünnakuteks, ütleb Balmas.
Mobiilside/IoT ohtude järsk tõus
CloudSEKi aruanne tuleb samal nädalal kui uus aruanne Verizonilt mis tõi esile mobiilsete ja asjade Interneti-seadmetega seotud suuremate küberrünnakute 22% kasvu aasta-aastalt. Verizoni aruanne, mis põhines 632 IT- ja turbespetsialisti küsitlusel, ütles, et 23% vastanutest ütles, et nende organisatsioonid on viimase 12 kuu jooksul kogenud suurt mobiiliturvalisuse kompromissi. Uuring näitas suurt muret mobiilsete turvaohtude pärast, eriti jaemüügi-, finants-, tervishoiu-, tootmis- ja avalikus sektoris. Verizon põhjendas kasvu viimase kahe aasta jooksul kaug- ja hübriidtööle üleminekuga ning sellest tulenev plahvatuslik majandamata koduvõrkude ja isiklike seadmete kasutamine ettevõtte varadele juurdepääsuks.
„Mobiilseadmete vastu suunatud rünnakud, sealhulgas sihitud rünnakud, sagenevad jätkuvalt, nagu ka ettevõtete ressurssidele juurdepääsu võimaldavate mobiilseadmete levik,” ütleb Verizon Businessi ettevõtte turvalisuse vanemlahendusspetsialist Mike Riley. "Silmapaistev on tõsiasi, et rünnakute arv on aasta-aastalt sagenenud ning vastajad väidavad, et rünnakute raskusaste on kasvanud koos mobiilsete / asjade Interneti-seadmete arvu suurenemisega."
Ta lisab, et mobiilseadmete vastu suunatud rünnakute suurim mõju organisatsioonidele oli andmete kadu ja seisakud.
Mobiilseadmeid sihivad andmepüügikampaaniad on viimase kahe aasta jooksul samuti hüppeliselt kasvanud. Telemeetria, mille Lookout kogus ja analüüsis enam kui 200 miljonist seadmest ja 160 miljonist rakendusest, näitas, et 15% ettevõtete kasutajatest ja 47% tarbijatest kogesid 2021. aastal igas kvartalis vähemalt ühte mobiilset andmepüügirünnakut – vastavalt 9% ja 30% rohkem. eelmisest aastast.
„Peame pilves andmete kaitsmise kontekstis vaatama mobiiliturbe suundumusi,“ ütleb Lookouti turbelahenduste vanemjuht Hank Schless. "Mobiilseadme turvalisus on oluline esimene samm, kuid oma organisatsiooni ja selle andmete täielikuks kaitsmiseks peate suutma kasutada mobiiliriski ühena paljudest signaalidest, mis edastavad teie turvapoliitikat andmetele pilves kohapealse juurdepääsu saamiseks. ja privaatsed rakendused.
