هزاران برنامه موبایلی که کلیدهای API توییتر را فاش می کنند، هوش داده پلاتوبلاک چین. جستجوی عمودی Ai.

هزاران برنامه تلفن همراه کلیدهای API توییتر را درز کردند

تمبر زمان: 2 اوت 2022، 6:05 بعد از ظهر

هزاران برنامه تلفن همراه کلیدهای API توییتر را فاش می‌کنند - برخی از آنها راهی را به دشمنان می‌دهند تا به حساب‌های توییتر کاربران این برنامه‌ها دسترسی پیدا کنند یا آنها را تحت کنترل خود درآورند و یک ارتش ربات برای انتشار اطلاعات نادرست، هرزنامه و بدافزار از طریق پلت فرم رسانه‌های اجتماعی تشکیل دهند.

محققان از CloudSEK مستقر در هند گفتند که در مجموع 3,207 برنامه تلفن همراه را شناسایی کرده اند که اطلاعات کلید مصرف کننده معتبر توییتر و کلید مخفی را فاش می کند. حدود 230 مورد از برنامه‌ها کشف شد که نشانه‌های دسترسی OAuth و اسرار دسترسی را نیز فاش می‌کنند.

این اطلاعات با هم به مهاجمان راهی می‌دهد تا به حساب‌های توییتر کاربران این برنامه‌ها دسترسی داشته باشند و اقدامات مختلفی را انجام دهند. این شامل خواندن پیام ها می شود. بازتوییت کردن، لایک کردن یا حذف پیام ها از طرف کاربر؛ حذف فالوور یا دنبال کردن حساب های جدید؛ و رفتن به تنظیمات حساب و انجام کارهایی مانند تغییر تصویر نمایشگر، CloudSEK گفت.

خطای برنامه نویس

فروشنده این مشکل را به توسعه دهندگان برنامه نسبت داد که اعتبار احراز هویت را در برنامه تلفن همراه خود در طول فرآیند توسعه ذخیره می کنند تا بتوانند با API توییتر تعامل داشته باشند. API به توسعه دهندگان شخص ثالث راهی می دهد تا عملکرد و داده های توییتر را در برنامه های خود جاسازی کنند.

CloudSEK در گزارشی درباره یافته‌های خود گفت: «برای مثال، اگر یک برنامه بازی امتیاز بالای شما را مستقیماً در فید توییتر شما ارسال کند، از API توییتر پشتیبانی می‌کند. به گفته فروشنده امنیتی، اغلب، با این حال، توسعه دهندگان در حذف کلیدهای احراز هویت قبل از آپلود برنامه در فروشگاه برنامه های تلفن همراه شکست می خورند، در نتیجه کاربران توییتر را در معرض خطر بیشتری قرار می دهند.

Scott Gerlach، یکی از بنیانگذاران و CSO در StackHawk، ارائه‌دهنده خدمات تست امنیت API، می‌گوید: «نمایش کلید API «تمام دسترسی» اساساً کلیدهای درب ورودی را از دست می‌دهد. "شما باید نحوه مدیریت دسترسی کاربر به API و نحوه دسترسی ایمن به API را بدانید. اگر این را درک نمی کنید، خودتان را پشت توپ هشت قرار داده اید.»

CloudSEK شناسایی شد راه های متعددی که مهاجمان می توانند از کلیدهای API افشا شده سوء استفاده کنند و نشانه با قرار دادن آنها در یک فیلمنامه، یک دشمن به طور بالقوه می تواند ارتش ربات توییتر را برای انتشار اطلاعات نادرست در مقیاس انبوه تشکیل دهد. محققان هشدار دادند: «تصرف چند حساب می‌تواند برای خواندن یک آهنگ پشت سر هم، تکرار پیامی که باید پرداخت شود، استفاده شود». مهاجمان همچنین می توانند از حساب های تایید شده توییتر برای انتشار بدافزار و هرزنامه و انجام حملات فیشینگ خودکار استفاده کنند.

مشکل API توییتر که CloudSEK شناسایی کرد، مشابه موارد گزارش شده قبلی از کلیدهای API مخفی است. به اشتباه لو رفته یا افشا شده استیانیو بالماس، معاون تحقیقات در Salt Security می گوید. تفاوت اصلی بین این مورد با بیشتر موارد قبلی این است که معمولاً وقتی یک کلید API در معرض نمایش گذاشته می‌شود، خطر عمده متوجه برنامه/فروشنده است.

او می گوید، برای مثال، کلیدهای API AWS S3 را که در GitHub در معرض دید قرار گرفته اند، در نظر بگیرید. با این حال، در این مورد، از آنجایی که کاربران به برنامه تلفن همراه اجازه می‌دهند از حساب‌های توییتر خود استفاده کند، این مشکل در واقع آنها را در همان سطح خطر خود برنامه قرار می‌دهد.

بالماس می‌گوید، چنین نشت‌هایی از کلیدهای مخفی، پتانسیل بسیاری از سوء استفاده‌ها و سناریوهای حمله را باز می‌کند.

افزایش تهدیدات موبایل/IoT

گزارش CloudSEK در همان هفته منتشر می شود گزارش جدیدی از Verizon که نشان دهنده افزایش 22 درصدی حملات سایبری بزرگ مربوط به دستگاه های تلفن همراه و اینترنت اشیا نسبت به سال گذشته است. گزارش Verizon، بر اساس نظرسنجی از 632 متخصص فناوری اطلاعات و امنیت، نشان داد که 23 درصد از پاسخ‌دهندگان گفته‌اند که سازمان‌های آنها در 12 ماه گذشته یک خطر بزرگ امنیت تلفن همراه را تجربه کرده‌اند. این نظرسنجی سطح بالایی از نگرانی را در مورد تهدیدات امنیتی تلفن همراه به ویژه در بخش های خرده فروشی، مالی، مراقبت های بهداشتی، تولیدی و عمومی نشان داد. Verizon این افزایش را به تغییر کار از راه دور و ترکیبی در دو سال گذشته و انفجار ناشی از آن در استفاده از شبکه‌های خانگی مدیریت نشده و دستگاه‌های شخصی برای دسترسی به دارایی‌های شرکت نسبت داد.

مایک رایلی، متخصص ارشد راه حل، امنیت سازمانی در Verizon Business، می‌گوید: «حملات به دستگاه‌های تلفن همراه - از جمله حملات هدفمند - همچنان افزایش می‌یابد، همانطور که افزایش دستگاه‌های تلفن همراه برای دسترسی به منابع شرکتی افزایش می‌یابد. آنچه برجسته است این واقعیت است که حملات سال به سال افزایش می‌یابد، و پاسخ دهندگان بیان کردند که شدت آن همراه با افزایش تعداد دستگاه‌های موبایل/اینترنت اشیا افزایش یافته است.

او می‌افزاید که بیشترین تأثیر حملات به دستگاه‌های تلفن همراه برای سازمان‌ها، از دست دادن داده‌ها و خرابی‌ها بود.

کمپین های فیشینگ که دستگاه های تلفن همراه را هدف قرار می دهند نیز طی دو سال گذشته افزایش یافته است. تله متری که Lookout از بیش از 200 میلیون دستگاه و 160 میلیون برنامه جمع آوری و تجزیه و تحلیل کرد، نشان داد که 15 درصد از کاربران سازمانی و 47 درصد از مصرف کنندگان حداقل یک حمله فیشینگ تلفن همراه را در هر سه ماهه در سال 2021 تجربه کرده اند که به ترتیب 9 درصد و 30 درصد افزایش یافته است. از سال قبل

Hank Schless، مدیر ارشد راه‌حل‌های امنیتی Lookout می‌گوید: «ما باید به روندهای امنیتی در تلفن همراه در زمینه محافظت از داده‌ها در فضای ابری نگاه کنیم. ایمن سازی دستگاه تلفن همراه اولین گام مهمی است، اما برای ایمن سازی کامل سازمان و داده های آن، باید بتوانید از ریسک موبایل به عنوان یکی از سیگنال های متعددی استفاده کنید که خط مشی های امنیتی شما را برای دسترسی به داده ها در فضای ابری و اولیه استفاده می کند. و برنامه های خصوصی."

تمبر زمان:

بیشتر از تاریک خواندن