Mobilalkalmazások ezrei szivárogtatnak ki Twitter API-kulcsokat – amelyek közül néhány lehetőséget ad az ellenfeleknek arra, hogy hozzáférjenek vagy átvegyék ezen alkalmazások felhasználóinak Twitter-fiókjait, és összeállítsanak egy botsereget a dezinformáció, spam és rosszindulatú programok közösségi médiaplatformon keresztüli terjesztésére.
Az indiai székhelyű CloudSEK kutatói elmondták, hogy összesen 3,207 mobilalkalmazást azonosítottak, amelyekből kiszivárogtak érvényes Twitter fogyasztói kulcsok és titkos kulcsok. Az alkalmazások közül mintegy 230-nál találtak OAuth-hozzáférési tokeneket és hozzáférési titkokat is.
Az információk együttesen lehetőséget adnak a támadóknak, hogy hozzáférjenek ezen alkalmazások felhasználóinak Twitter-fiókjaihoz, és különféle műveleteket hajtsanak végre. Ez magában foglalja az üzenetek olvasását; üzenetek retweetelése, kedvelése vagy törlése a felhasználó nevében; követők eltávolítása vagy új fiókok követése; A CloudSEK szerint a fiókbeállítások megnyitása és a képernyőkép megváltoztatása.
Alkalmazásfejlesztői hiba
A gyártó a problémát annak tulajdonította, hogy az alkalmazásfejlesztők a fejlesztési folyamat során elmentették a hitelesítési adatokat a mobilalkalmazásukban, hogy kapcsolatba léphessenek a Twitter API-jával. Az API lehetővé teszi a külső fejlesztők számára, hogy a Twitter funkcióit és adatait beágyazzák alkalmazásaikba.
"Például, ha egy játékalkalmazás közvetlenül közzéteszi a legmagasabb pontszámot a Twitter hírfolyamában, akkor azt a Twitter API vezérli" - mondta a CloudSEK az eredményekről szóló jelentésében. A fejlesztők azonban gyakran nem távolítják el a hitelesítési kulcsokat, mielőtt feltöltenék az alkalmazást egy mobilalkalmazás-áruházba, és ezzel fokozott kockázatnak teszik ki a Twitter-felhasználókat – mondta a biztonsági szolgáltató.
„Egy „minden hozzáférésű” API-kulcs felfedése lényegében azt jelenti, hogy a bejárati ajtóhoz adjuk a kulcsokat” – mondja Scott Gerlach, a StackHawk, az API biztonsági tesztelési szolgáltatásokat nyújtó társalapítója és CSO. „Meg kell értenie, hogyan kezelheti a felhasználói hozzáférést egy API-hoz, és hogyan biztosíthat biztonságos hozzáférést az API-hoz. Ha ezt nem érted, akkor a nyolc labda mögé helyezted magad.
A CloudSEK azonosítva többféle módon is visszaélhetnek a támadók a nyilvánosságra hozott API-kulcsokkal és token. Ha beágyazza őket egy forgatókönyvbe, az ellenfél potenciálisan összeállíthat egy Twitter bot hadsereget, hogy tömegesen terjessze a dezinformációt. "Több számla átvétele felhasználható arra, hogy párhuzamosan énekeljék ugyanazt a dallamot, megismételve az üzenetet, amelyet ki kell fizetni" - figyelmeztettek a kutatók. A támadók ellenőrzött Twitter-fiókokat is használhatnak rosszindulatú programok és spamek terjesztésére, valamint automatizált adathalász támadások végrehajtására.
A CloudSEK által azonosított Twitter API-probléma hasonló a titkos API-kulcsok korábban bejelentett példányaihoz tévedésből kiszivárogtatták vagy nyilvánosságra kerültek, mondja Yaniv Balmas, a Salt Security kutatási alelnöke. "A fő különbség a jelen eset és a legtöbb korábbi eset között az, hogy ha egy API-kulcs nyitva marad, a fő kockázat az alkalmazást/szállítót fenyegeti."
Vegyük például az AWS S3 API-kulcsokat a GitHubon, mondja. "Ebben az esetben azonban, mivel a felhasználók megengedik a mobilalkalmazásnak saját Twitter-fiókjuk használatát, a probléma valójában ugyanolyan kockázati szintnek teszi ki őket, mint magát az alkalmazást."
A titkos kulcsok ilyen kiszivárogtatása számos lehetséges visszaélés és támadási forgatókönyv lehetőségét nyitja meg, mondja Balmas.
A mobil/IoT fenyegetések megugrása
A CloudSEK jelentése ugyanazon a héten érkezik, mint egy új jelentés a Verizontól amely rávilágított arra, hogy a mobil- és IoT-eszközöket érintő jelentős kibertámadások éves szinten 22%-kal nőttek. A Verizon 632 informatikai és biztonsági szakember megkérdezésén alapuló jelentése szerint a válaszadók 23%-a nyilatkozott úgy, hogy szervezetük komoly mobilbiztonsági kompromisszumot élt át az elmúlt 12 hónapban. A felmérés azt mutatta, hogy nagy aggodalomra ad okot a mobilbiztonsági fenyegetések, különösen a kiskereskedelmi, pénzügyi, egészségügyi, gyártási és közszférában. A Verizon a növekedést a távoli és hibrid munkára való átállásnak tulajdonította az elmúlt két évben, és ennek eredményeként a nem menedzselt otthoni hálózatok és a személyes eszközök használatának robbanásszerű növekedését a vállalati eszközök eléréséhez.
„A mobileszközök elleni támadások száma – beleértve a célzott támadásokat is – továbbra is növekszik, csakúgy, mint a vállalati erőforrásokhoz való hozzáférést biztosító mobileszközök terjedése” – mondja Mike Riley, a Verizon Business vállalati biztonságért felelős vezető megoldásszakértője. „Kiemelkedő az a tény, hogy a támadások száma évről évre nő, és a válaszadók szerint a súlyosság a mobil/IoT-eszközök számának növekedésével együtt nőtt.”
A mobileszközök elleni támadások legnagyobb hatással a szervezetekre az adatvesztés és az állásidő volt – teszi hozzá.
A mobileszközöket célzó adathalász kampányok is megugrottak az elmúlt két évben. A Lookout több mint 200 millió eszközről és 160 millió alkalmazásról gyűjtött és elemzett telemetriája azt mutatta, hogy a vállalati felhasználók 15%-a és a fogyasztók 47%-a tapasztalt legalább egy mobil adathalász támadást 2021-ben minden negyedévben – ez 9%-os, illetve 30%-os növekedés. az előző évtől.
„Meg kell vizsgálnunk a mobileszközök biztonsági trendjeit a felhőben tárolt adatok védelmével összefüggésben” – mondja Hank Schless, a Lookout biztonsági megoldásaiért felelős vezető menedzser. „A mobileszköz biztonságossá tétele egy fontos első lépés, de a szervezet és az adatok teljes körű biztonsága érdekében képesnek kell lennie arra, hogy a mobilkockázatot a számos jel egyikeként használja fel, amelyek a felhőben, helyszíni adatokhoz való hozzáférésre vonatkozó biztonsági irányelveket táplálják. , és privát alkalmazások.”
