ट्विटर एपीआई कीज़ लीक करने वाले हजारों मोबाइल ऐप्स

हजारों मोबाइल ऐप ट्विटर एपीआई कुंजी लीक कर रहे हैं - जिनमें से कुछ विरोधियों को इन एप्लिकेशन के उपयोगकर्ताओं के ट्विटर खातों तक पहुंचने या लेने का एक तरीका प्रदान करते हैं और सोशल मीडिया प्लेटफॉर्म के माध्यम से दुष्प्रचार, स्पैम और मैलवेयर फैलाने के लिए एक बॉट सेना को इकट्ठा करते हैं।

भारत स्थित क्लाउडसेक के शोधकर्ताओं ने कहा कि उन्होंने कुल 3,207 मोबाइल एप्लिकेशन की पहचान की है जो वैध ट्विटर उपभोक्ता कुंजी और गुप्त कुंजी जानकारी लीक कर रहे हैं। कुछ 230 एप्लिकेशन OAuth एक्सेस टोकन और एक्सेस सीक्रेट्स को लीक करते हुए पाए गए।

साथ में, जानकारी हमलावरों को इन एप्लिकेशन के उपयोगकर्ताओं के ट्विटर खातों तक पहुंचने और कई तरह की कार्रवाइयां करने का एक तरीका देती है। इसमें संदेश पढ़ना शामिल है; उपयोगकर्ता की ओर से संदेशों को रीट्वीट करना, पसंद करना या हटाना; अनुयायियों को हटाना या नए खातों का अनुसरण करना; और खाता सेटिंग में जाकर प्रदर्शन चित्र बदलने जैसे काम करना, CloudSEK ने कहा।

एप्लिकेशन डेवलपर त्रुटि

विक्रेता ने विकास प्रक्रिया के दौरान अपने मोबाइल एप्लिकेशन के भीतर प्रमाणीकरण क्रेडेंशियल्स को सहेजने वाले एप्लिकेशन डेवलपर्स को इस मुद्दे के लिए जिम्मेदार ठहराया ताकि वे ट्विटर के एपीआई के साथ बातचीत कर सकें। एपीआई तीसरे पक्ष के डेवलपर्स को ट्विटर की कार्यक्षमता और डेटा को अपने अनुप्रयोगों में एम्बेड करने का एक तरीका देता है।

"उदाहरण के लिए, यदि कोई गेमिंग ऐप आपके उच्च स्कोर को सीधे आपके ट्विटर फीड पर पोस्ट करता है, तो यह ट्विटर एपीआई द्वारा संचालित होता है," क्लाउडसेक ने अपने निष्कर्षों पर एक रिपोर्ट में कहा। सुरक्षा विक्रेता ने कहा कि अक्सर, हालांकि, डेवलपर्स ऐप को मोबाइल ऐप स्टोर पर अपलोड करने से पहले प्रमाणीकरण कुंजी को हटाने में विफल होते हैं, जिससे ट्विटर उपयोगकर्ताओं को जोखिम बढ़ जाता है।

एपीआई सुरक्षा परीक्षण सेवाओं के प्रदाता, स्टैकहॉक के सह-संस्थापक और सीएसओ स्कॉट गेरलाच कहते हैं, "एक 'सभी एक्सेस' एपीआई कुंजी को उजागर करना अनिवार्य रूप से सामने के दरवाजे की चाबी दे रहा है।" "आपको यह समझना होगा कि एपीआई तक उपयोगकर्ता पहुंच को कैसे प्रबंधित किया जाए और एपीआई तक पहुंच को सुरक्षित रूप से कैसे व्यवस्थित किया जाए। यदि आप इसे नहीं समझते हैं, तो आपने खुद को आठ गेंद से पीछे कर लिया है।”

CloudSEK की पहचान की गई कई तरीकों से हमलावर उजागर एपीआई कुंजी का दुरुपयोग कर सकते हैं और टोकन। उन्हें एक स्क्रिप्ट में एम्बेड करके, एक विरोधी संभावित रूप से बड़े पैमाने पर दुष्प्रचार फैलाने के लिए एक ट्विटर बॉट सेना को इकट्ठा कर सकता है। शोधकर्ताओं ने चेतावनी दी, "एक से अधिक खाता अधिग्रहण का उपयोग एक ही धुन को गाने के लिए किया जा सकता है, संदेश को दोहराते हुए जिसे वितरित करने की आवश्यकता है।" मैलवेयर और स्पैम फैलाने और स्वचालित फ़िशिंग हमलों को अंजाम देने के लिए हमलावर सत्यापित ट्विटर खातों का भी उपयोग कर सकते हैं।

CloudSEK द्वारा पहचाना गया Twitter API मुद्दा गुप्त API कुंजियों के पहले बताए गए उदाहरणों के समान है गलती से लीक या उजागर हो रहा है, नमक सुरक्षा में अनुसंधान के उपाध्यक्ष यानिव बलमास कहते हैं। "इस मामले और पिछले अधिकांश के बीच मुख्य अंतर यह है कि आमतौर पर जब एक एपीआई कुंजी को खुला छोड़ दिया जाता है, तो बड़ा जोखिम एप्लिकेशन / विक्रेता के लिए होता है।"

उदाहरण के लिए, GitHub पर उजागर AWS S3 API कुंजियों को लें, वे कहते हैं। "इस मामले में, हालांकि, चूंकि उपयोगकर्ता मोबाइल एप्लिकेशन को अपने स्वयं के ट्विटर खातों का उपयोग करने की अनुमति देते हैं, इसलिए समस्या वास्तव में उन्हें एप्लिकेशन के समान जोखिम स्तर पर रखती है।"

बालमास का कहना है कि गुप्त चाबियों के इस तरह के लीक से कई संभावित दुर्व्यवहारों और हमले के परिदृश्यों की संभावना खुलती है।

मोबाइल/आईओटी खतरों में उछाल

CloudSEK की रिपोर्ट उसी सप्ताह आती है वेरिज़ोन की एक नई रिपोर्ट इसने मोबाइल और IoT उपकरणों से जुड़े प्रमुख साइबर हमलों में साल-दर-साल 22% की वृद्धि को उजागर किया। 632 आईटी और सुरक्षा पेशेवरों के सर्वेक्षण के आधार पर वेरिज़ॉन की रिपोर्ट में 23% उत्तरदाताओं ने कहा कि उनके संगठनों ने पिछले 12 महीनों में एक प्रमुख मोबाइल सुरक्षा समझौता का अनुभव किया है। सर्वेक्षण ने विशेष रूप से खुदरा, वित्तीय, स्वास्थ्य सेवा, विनिर्माण और सार्वजनिक क्षेत्रों में मोबाइल सुरक्षा खतरों पर उच्च स्तर की चिंता दिखाई। वेरिज़ॉन ने पिछले दो वर्षों में रिमोट और हाइब्रिड काम में बदलाव और उद्यम संपत्तियों तक पहुंचने के लिए अप्रबंधित घरेलू नेटवर्क और व्यक्तिगत उपकरणों के उपयोग में परिणामी विस्फोट को जिम्मेदार ठहराया।

"मोबाइल उपकरणों पर हमले - लक्षित हमलों सहित - में वृद्धि जारी है, जैसा कि कॉर्पोरेट संसाधनों तक पहुंचने के लिए मोबाइल उपकरणों का प्रसार होता है," माइक रिले, वरिष्ठ समाधान विशेषज्ञ, वेरिज़ोन बिजनेस में उद्यम सुरक्षा कहते हैं। "जो बात सामने आती है वह यह है कि हमले साल-दर-साल बढ़ रहे हैं, उत्तरदाताओं ने कहा कि मोबाइल / IoT उपकरणों की संख्या में वृद्धि के साथ गंभीरता बढ़ी है।"

मोबाइल उपकरणों पर हमलों से संगठनों के लिए सबसे बड़ा प्रभाव डेटा हानि और डाउनटाइम था, उन्होंने आगे कहा।

पिछले दो वर्षों में मोबाइल उपकरणों को लक्षित करने वाले फ़िशिंग अभियान भी बढ़े हैं। टेलीमेट्री जिसे लुकआउट ने 200 मिलियन से अधिक उपकरणों और 160 मिलियन ऐप से एकत्र और विश्लेषण किया, ने दिखाया कि 15% उद्यम उपयोगकर्ताओं और 47% उपभोक्ताओं ने 2021 में प्रत्येक तिमाही में कम से कम एक मोबाइल फ़िशिंग हमले का अनुभव किया - क्रमशः 9% और 30% की वृद्धि, पूर्व वर्ष से।

लुकआउट में सुरक्षा समाधान के वरिष्ठ प्रबंधक हैंक श्लेस कहते हैं, "हमें क्लाउड में डेटा की सुरक्षा के संदर्भ में मोबाइल पर सुरक्षा रुझानों को देखने की जरूरत है।" "मोबाइल डिवाइस को सुरक्षित करना एक महत्वपूर्ण पहला कदम है, लेकिन अपने संगठन और उसके डेटा को पूरी तरह से सुरक्षित करने के लिए, आपको कई संकेतों में से एक के रूप में मोबाइल जोखिम का उपयोग करने में सक्षम होना चाहिए जो क्लाउड में डेटा तक पहुंचने के लिए आपकी सुरक्षा नीतियों को खिलाते हैं। , और निजी ऐप्स।"