Tuhannet mobiilisovellukset vuotavat Twitterin API-avaimia – joista osa antaa vastustajille tavan käyttää tai ottaa haltuunsa näiden sovellusten käyttäjien Twitter-tilejä ja koota bottiarmeijan disinformaation, roskapostin ja haittaohjelmien levittämiseksi sosiaalisen median alustan kautta.
Intialaisen CloudSEK:n tutkijat kertoivat tunnistaneensa yhteensä 3,207 230 mobiilisovellusta, jotka vuotavat kelvollisia Twitter-kuluttaja- ja salaisen avaimen tietoja. Noin XNUMX sovelluksista havaittiin vuotavan myös OAuth-käyttötunnuksia ja pääsysalaisuuksia.
Yhdessä tiedot antavat hyökkääjille tavan päästä näiden sovellusten käyttäjien Twitter-tileihin ja suorittaa erilaisia toimintoja. Tämä sisältää viestien lukemisen; viestien uudelleentwiitaaminen, tykkääminen tai poistaminen käyttäjän puolesta; seuraajien poistaminen tai uusien tilien seuraaminen; ja mennä tiliasetuksiin ja tehdä asioita, kuten muuttaa näyttökuvaa, CloudSEK sanoi.
Sovelluksen kehittäjän virhe
Myyjä katsoi ongelman sovelluskehittäjille, jotka tallensivat todennustiedot mobiilisovellukseensa kehitysprosessin aikana, jotta he voivat olla vuorovaikutuksessa Twitterin API:n kanssa. API antaa kolmannen osapuolen kehittäjille tavan upottaa Twitterin toimintoja ja tietoja sovelluksiinsa.
"Esimerkiksi jos pelisovellus julkaisee huippupisteesi suoraan Twitter-syötteessäsi, se toimii Twitter-sovellusliittymän avulla", CloudSEK sanoi raportissaan havainnoistaan. Usein kehittäjät eivät kuitenkaan poista todennusavaimia ennen sovelluksen lataamista mobiilisovelluskauppaan, mikä altistaa Twitterin käyttäjät kohonneelle riskille, tietoturvatoimittaja sanoi.
"Alkuperäisen pääsyn" API-avaimen paljastaminen merkitsee pohjimmiltaan avainten luovuttamista etuovelle", sanoo Scott Gerlach, yksi perustajista ja CSO StackHawkista, API-tietoturvatestauspalveluita tarjoavasta. "Sinun on ymmärrettävä, kuinka hallita käyttäjien pääsyä API:lle ja kuinka tarjota pääsy API:lle turvallisesti. Jos et ymmärrä sitä, olet asettanut itsesi kahdeksan pallon taakse.”
CloudSEK tunnistettu useita tapoja, joilla hyökkääjät voivat väärinkäyttää paljastuneita API-avaimia ja merkki. Upottamalla ne käsikirjoitukseen, vastustaja voisi mahdollisesti koota Twitter-bottiarmeijan levittääkseen disinformaatiota massamittakaavassa. "Useita tilisiirtoja voidaan käyttää laulamaan sama sävel rinnakkain, toistaen viesti, joka on lähetettävä", tutkijat varoittivat. Hyökkääjät voivat myös käyttää vahvistettuja Twitter-tilejä haittaohjelmien ja roskapostin levittämiseen sekä automaattisten tietojenkalasteluhyökkäuksien suorittamiseen.
CloudSEKin tunnistama Twitter-sovellusliittymäongelma muistuttaa aiemmin raportoituja salaisia API-avaimia vuotaa tai paljastuu vahingossa, sanoo Yaniv Balmas, Salt Securityn tutkimusjohtaja. "Pääasiallinen ero tämän tapauksen ja useimpien aikaisempien välillä on se, että yleensä kun API-avain jätetään näkyviin, suurin riski kohdistuu sovellukseen/toimittajaan."
Otetaan esimerkiksi GitHubissa näkyvät AWS S3 API-avaimet, hän sanoo. "Tässä tapauksessa käyttäjät sallivat mobiilisovelluksen käyttää omia Twitter-tilejään, joten ongelma asettaa heidät samalle riskitasolle kuin itse sovellus."
Tällaiset salaisten avainten vuodot tarjoavat mahdollisuuden lukuisiin mahdollisiin väärinkäytöksiin ja hyökkäysskenaarioihin, Balmas sanoo.
Mobiili-/IoT-uhkien kasvu
CloudSEK:n raportti tulee samalla viikolla uusi raportti Verizonilta Tämä korosti mobiili- ja IoT-laitteisiin liittyvien suurten kyberhyökkäysten lisääntymistä 22 % vuoden takaisesta. Verizonin raportissa, joka perustui 632 IT- ja tietoturva-ammattilaisen kyselyyn, 23 % vastaajista sanoi, että heidän organisaationsa on kokenut suuren mobiiliturvallisuuden kompromissin viimeisen 12 kuukauden aikana. Tutkimus osoitti suurta huolta mobiilien tietoturvauhkista erityisesti vähittäiskaupan, rahoitusalan, terveydenhuollon, tuotannon ja julkisen sektorin aloilla. Verizon selitti kasvun johtuvan siirtymisestä etä- ja hybridityöskentelyyn kahden viime vuoden aikana ja siitä seuranneen hallitsemattomien kotiverkkojen ja henkilökohtaisten laitteiden käytön räjähdysmäisesti lisääntyneen yrityksen omaisuuden käyttöön.
"Mobiililaitteisiin kohdistuvat hyökkäykset – mukaan lukien kohdistetut hyökkäykset – lisääntyvät edelleen, samoin kuin mobiililaitteiden lisääntyminen yritysten resurssien käyttöä varten", sanoo Mike Riley, Verizon Businessin yritysturvallisuuden vanhempi ratkaisuasiantuntija. "Hyökkäyksiä on noussut vuosi vuodelta, ja vastaajien mukaan hyökkäysten vakavuus on kasvanut mobiili-/IoT-laitteiden määrän lisääntymisen myötä."
Mobiililaitteisiin kohdistuvien hyökkäysten suurin vaikutus organisaatioille oli tietojen katoaminen ja seisokit, hän lisää.
Mobiililaitteisiin kohdistetut tietojenkalastelukampanjat ovat myös lisääntyneet huimasti viimeisen kahden vuoden aikana. Telemetria, jonka Lookout keräsi ja analysoi yli 200 miljoonasta laitteesta ja 160 miljoonasta sovelluksesta, osoitti, että 15 % yrityskäyttäjistä ja 47 % kuluttajista koki vähintään yhden mobiilitietojenkalasteluhyökkäyksen kullakin vuosineljänneksellä vuonna 2021 – kasvua oli 9 % ja 30 %. edellisestä vuodesta.
"Meidän on tarkasteltava mobiililaitteiden tietoturvatrendejä pilvessä olevien tietojen suojaamisen yhteydessä", sanoo Lookoutin tietoturvaratkaisujen johtaja Hank Schless. "Mobiililaitteen suojaaminen on tärkeä ensimmäinen askel, mutta organisaatiosi ja sen tietojen täysin turvaamiseksi sinun on kyettävä käyttämään mobiiliriskiä yhtenä monista signaaleista, jotka ruokkivat tietoturvakäytäntöjäsi pilvessä, on-prem-palvelussa. ja yksityisiä sovelluksia."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
