Des milliers d'applications mobiles divulguent des clés API Twitter, dont certaines donnent aux adversaires un moyen d'accéder ou de prendre le contrôle des comptes Twitter des utilisateurs de ces applications et de constituer une armée de robots pour diffuser de la désinformation, du spam et des logiciels malveillants via la plateforme de médias sociaux.
Des chercheurs de CloudSEK, basé en Inde, ont déclaré avoir identifié un total de 3,207 230 applications mobiles divulguant des informations valides sur la clé de consommateur et la clé secrète de Twitter. Quelque XNUMX applications ont également révélé des fuites de jetons d'accès OAuth et de secrets d'accès.
Ensemble, ces informations permettent aux attaquants d'accéder aux comptes Twitter des utilisateurs de ces applications et d'effectuer diverses actions. Cela inclut la lecture de messages ; retweeter, aimer ou supprimer des messages au nom de l'utilisateur ; supprimer des abonnés ou suivre de nouveaux comptes ; et accéder aux paramètres du compte et faire des choses comme changer l'image d'affichage, a déclaré CloudSEK.
Erreur du développeur d'applications
Le fournisseur a attribué le problème au fait que les développeurs d'applications enregistraient les informations d'authentification dans leur application mobile pendant le processus de développement afin de pouvoir interagir avec l'API de Twitter. L'API offre aux développeurs tiers un moyen d'intégrer les fonctionnalités et les données de Twitter dans leurs applications.
"Par exemple, si une application de jeu publie directement votre meilleur score sur votre fil Twitter, elle est alimentée par l'API Twitter", a déclaré CloudSEK dans un rapport sur ses conclusions. Cependant, il arrive souvent que les développeurs ne suppriment pas les clés d'authentification avant de télécharger l'application sur une boutique d'applications mobiles, exposant ainsi les utilisateurs de Twitter à un risque accru, a déclaré le fournisseur de sécurité.
« Exposer une clé API « accès illimité » revient essentiellement à donner les clés de la porte d'entrée », déclare Scott Gerlach, co-fondateur et CSO chez StackHawk, un fournisseur de services de tests de sécurité API. « Vous devez comprendre comment gérer l'accès des utilisateurs à une API et comment fournir en toute sécurité l'accès à l'API. Si vous ne comprenez pas cela, vous vous êtes mis loin derrière la huitième balle.
CloudSEK identifié les attaquants peuvent utiliser de multiples façons d'abuser des clés API exposées et jeton. En les intégrant dans un script, un adversaire pourrait potentiellement rassembler une armée de robots Twitter pour diffuser la désinformation à grande échelle. « Plusieurs rachats de comptes peuvent être utilisés pour chanter la même mélodie en tandem, réitérant le message qui doit être diffusé », ont prévenu les chercheurs. Les attaquants pourraient également utiliser des comptes Twitter vérifiés pour diffuser des logiciels malveillants et du spam et mener des attaques de phishing automatisées.
Le problème de l'API Twitter identifié par CloudSEK s'apparente aux instances de clés API secrètes précédemment signalées. avoir été divulgué ou exposé par erreur, déclare Yaniv Balmas, vice-président de la recherche chez Salt Security. "La principale différence entre ce cas et la plupart des précédents est que, généralement, lorsqu'une clé API reste exposée, le risque majeur est pour l'application/le fournisseur."
Prenez par exemple les clés API AWS S3 exposées sur GitHub, dit-il. "Dans ce cas, cependant, puisque les utilisateurs autorisent l'application mobile à utiliser leurs propres comptes Twitter, le problème les expose au même niveau de risque que l'application elle-même."
De telles fuites de clés secrètes ouvrent la voie à de nombreux abus et scénarios d'attaque, explique Balmas.
Augmentation des menaces mobiles/IoT
Le rapport de CloudSEK arrive la même semaine que un nouveau rapport de Verizon qui a mis en évidence une augmentation de 22 % d’une année sur l’autre des cyberattaques majeures impliquant des appareils mobiles et IoT. Le rapport de Verizon, basé sur une enquête menée auprès de 632 professionnels de l'informatique et de la sécurité, révèle que 23 % des personnes interrogées déclarent que leur organisation a été confrontée à un compromis majeur en matière de sécurité mobile au cours des 12 derniers mois. L'enquête a montré un niveau élevé d'inquiétude concernant les menaces de sécurité mobile, en particulier dans les secteurs de la vente au détail, de la finance, de la santé, de l'industrie et du public. Verizon a attribué cette augmentation au passage au travail à distance et hybride au cours des deux dernières années et à l'explosion qui en a résulté de l'utilisation de réseaux domestiques et d'appareils personnels non gérés pour accéder aux actifs de l'entreprise.
« Les attaques contre les appareils mobiles, y compris les attaques ciblées, continuent d'augmenter, tout comme la prolifération des appareils mobiles pour accéder aux ressources de l'entreprise », déclare Mike Riley, spécialiste principal des solutions en matière de sécurité d'entreprise chez Verizon Business. « Ce qui ressort, c’est le fait que les attaques augmentent d’année en année, les personnes interrogées déclarant que leur gravité a augmenté parallèlement à l’augmentation du nombre d’appareils mobiles/IoT. »
Le principal impact des attaques sur les appareils mobiles pour les organisations a été la perte de données et les temps d'arrêt, ajoute-t-il.
Les campagnes de phishing ciblant les appareils mobiles ont également augmenté au cours des deux dernières années. Les télémétries collectées et analysées par Lookout sur plus de 200 millions d'appareils et 160 millions d'applications ont montré que 15 % des utilisateurs d'entreprise et 47 % des consommateurs ont subi au moins une attaque de phishing mobile chaque trimestre en 2021, soit une augmentation de 9 % et 30 %, respectivement. de l’année précédente.
« Nous devons examiner les tendances en matière de sécurité sur mobile dans le contexte de la protection des données dans le cloud », déclare Hank Schless, directeur principal des solutions de sécurité chez Lookout. « La sécurisation des appareils mobiles est une première étape importante, mais pour sécuriser pleinement votre organisation et ses données, vous devez être en mesure d'utiliser le risque mobile comme l'un des nombreux signaux qui alimentent vos politiques de sécurité pour l'accès aux données dans le cloud, sur site. , et des applications privées.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
