هزاران برنامه تلفن همراه کلیدهای API توییتر را فاش میکنند - برخی از آنها راهی را به دشمنان میدهند تا به حسابهای توییتر کاربران این برنامهها دسترسی پیدا کنند یا آنها را تحت کنترل خود درآورند و یک ارتش ربات برای انتشار اطلاعات نادرست، هرزنامه و بدافزار از طریق پلت فرم رسانههای اجتماعی تشکیل دهند.
محققان از CloudSEK مستقر در هند گفتند که در مجموع 3,207 برنامه تلفن همراه را شناسایی کرده اند که اطلاعات کلید مصرف کننده معتبر توییتر و کلید مخفی را فاش می کند. حدود 230 مورد از برنامهها کشف شد که نشانههای دسترسی OAuth و اسرار دسترسی را نیز فاش میکنند.
این اطلاعات با هم به مهاجمان راهی میدهد تا به حسابهای توییتر کاربران این برنامهها دسترسی داشته باشند و اقدامات مختلفی را انجام دهند. این شامل خواندن پیام ها می شود. بازتوییت کردن، لایک کردن یا حذف پیام ها از طرف کاربر؛ حذف فالوور یا دنبال کردن حساب های جدید؛ و رفتن به تنظیمات حساب و انجام کارهایی مانند تغییر تصویر نمایشگر، CloudSEK گفت.
خطای برنامه نویس
فروشنده این مشکل را به توسعه دهندگان برنامه نسبت داد که اعتبار احراز هویت را در برنامه تلفن همراه خود در طول فرآیند توسعه ذخیره می کنند تا بتوانند با API توییتر تعامل داشته باشند. API به توسعه دهندگان شخص ثالث راهی می دهد تا عملکرد و داده های توییتر را در برنامه های خود جاسازی کنند.
CloudSEK در گزارشی درباره یافتههای خود گفت: «برای مثال، اگر یک برنامه بازی امتیاز بالای شما را مستقیماً در فید توییتر شما ارسال کند، از API توییتر پشتیبانی میکند. به گفته فروشنده امنیتی، اغلب، با این حال، توسعه دهندگان در حذف کلیدهای احراز هویت قبل از آپلود برنامه در فروشگاه برنامه های تلفن همراه شکست می خورند، در نتیجه کاربران توییتر را در معرض خطر بیشتری قرار می دهند.
Scott Gerlach، یکی از بنیانگذاران و CSO در StackHawk، ارائهدهنده خدمات تست امنیت API، میگوید: «نمایش کلید API «تمام دسترسی» اساساً کلیدهای درب ورودی را از دست میدهد. "شما باید نحوه مدیریت دسترسی کاربر به API و نحوه دسترسی ایمن به API را بدانید. اگر این را درک نمی کنید، خودتان را پشت توپ هشت قرار داده اید.»
CloudSEK شناسایی شد راه های متعددی که مهاجمان می توانند از کلیدهای API افشا شده سوء استفاده کنند و نشانه با قرار دادن آنها در یک فیلمنامه، یک دشمن به طور بالقوه می تواند ارتش ربات توییتر را برای انتشار اطلاعات نادرست در مقیاس انبوه تشکیل دهد. محققان هشدار دادند: «تصرف چند حساب میتواند برای خواندن یک آهنگ پشت سر هم، تکرار پیامی که باید پرداخت شود، استفاده شود». مهاجمان همچنین می توانند از حساب های تایید شده توییتر برای انتشار بدافزار و هرزنامه و انجام حملات فیشینگ خودکار استفاده کنند.
مشکل API توییتر که CloudSEK شناسایی کرد، مشابه موارد گزارش شده قبلی از کلیدهای API مخفی است. به اشتباه لو رفته یا افشا شده استیانیو بالماس، معاون تحقیقات در Salt Security می گوید. تفاوت اصلی بین این مورد با بیشتر موارد قبلی این است که معمولاً وقتی یک کلید API در معرض نمایش گذاشته میشود، خطر عمده متوجه برنامه/فروشنده است.
او می گوید، برای مثال، کلیدهای API AWS S3 را که در GitHub در معرض دید قرار گرفته اند، در نظر بگیرید. با این حال، در این مورد، از آنجایی که کاربران به برنامه تلفن همراه اجازه میدهند از حسابهای توییتر خود استفاده کند، این مشکل در واقع آنها را در همان سطح خطر خود برنامه قرار میدهد.
بالماس میگوید، چنین نشتهایی از کلیدهای مخفی، پتانسیل بسیاری از سوء استفادهها و سناریوهای حمله را باز میکند.
افزایش تهدیدات موبایل/IoT
گزارش CloudSEK در همان هفته منتشر می شود گزارش جدیدی از Verizon که نشان دهنده افزایش 22 درصدی حملات سایبری بزرگ مربوط به دستگاه های تلفن همراه و اینترنت اشیا نسبت به سال گذشته است. گزارش Verizon، بر اساس نظرسنجی از 632 متخصص فناوری اطلاعات و امنیت، نشان داد که 23 درصد از پاسخدهندگان گفتهاند که سازمانهای آنها در 12 ماه گذشته یک خطر بزرگ امنیت تلفن همراه را تجربه کردهاند. این نظرسنجی سطح بالایی از نگرانی را در مورد تهدیدات امنیتی تلفن همراه به ویژه در بخش های خرده فروشی، مالی، مراقبت های بهداشتی، تولیدی و عمومی نشان داد. Verizon این افزایش را به تغییر کار از راه دور و ترکیبی در دو سال گذشته و انفجار ناشی از آن در استفاده از شبکههای خانگی مدیریت نشده و دستگاههای شخصی برای دسترسی به داراییهای شرکت نسبت داد.
مایک رایلی، متخصص ارشد راه حل، امنیت سازمانی در Verizon Business، میگوید: «حملات به دستگاههای تلفن همراه - از جمله حملات هدفمند - همچنان افزایش مییابد، همانطور که افزایش دستگاههای تلفن همراه برای دسترسی به منابع شرکتی افزایش مییابد. آنچه برجسته است این واقعیت است که حملات سال به سال افزایش مییابد، و پاسخ دهندگان بیان کردند که شدت آن همراه با افزایش تعداد دستگاههای موبایل/اینترنت اشیا افزایش یافته است.
او میافزاید که بیشترین تأثیر حملات به دستگاههای تلفن همراه برای سازمانها، از دست دادن دادهها و خرابیها بود.
کمپین های فیشینگ که دستگاه های تلفن همراه را هدف قرار می دهند نیز طی دو سال گذشته افزایش یافته است. تله متری که Lookout از بیش از 200 میلیون دستگاه و 160 میلیون برنامه جمع آوری و تجزیه و تحلیل کرد، نشان داد که 15 درصد از کاربران سازمانی و 47 درصد از مصرف کنندگان حداقل یک حمله فیشینگ تلفن همراه را در هر سه ماهه در سال 2021 تجربه کرده اند که به ترتیب 9 درصد و 30 درصد افزایش یافته است. از سال قبل
Hank Schless، مدیر ارشد راهحلهای امنیتی Lookout میگوید: «ما باید به روندهای امنیتی در تلفن همراه در زمینه محافظت از دادهها در فضای ابری نگاه کنیم. ایمن سازی دستگاه تلفن همراه اولین گام مهمی است، اما برای ایمن سازی کامل سازمان و داده های آن، باید بتوانید از ریسک موبایل به عنوان یکی از سیگنال های متعددی استفاده کنید که خط مشی های امنیتی شما را برای دسترسی به داده ها در فضای ابری و اولیه استفاده می کند. و برنامه های خصوصی."