Ribuan aplikasi seluler membocorkan kunci API Twitter — beberapa di antaranya memberi musuh cara untuk mengakses atau mengambil alih akun Twitter pengguna aplikasi ini dan mengumpulkan pasukan bot untuk menyebarkan disinformasi, spam, dan malware melalui platform media sosial.
Para peneliti dari CloudSEK yang berbasis di India mengatakan mereka telah mengidentifikasi total 3,207 aplikasi seluler yang membocorkan informasi Kunci Konsumen dan Kunci Rahasia Twitter yang valid. Sekitar 230 aplikasi ditemukan membocorkan token akses OAuth dan juga rahasia akses.
Bersama-sama, informasi tersebut memberi penyerang cara untuk mengakses akun Twitter pengguna aplikasi ini dan melakukan berbagai tindakan. Ini termasuk membaca pesan; me-retweet, menyukai, atau menghapus pesan atas nama pengguna; menghapus pengikut atau mengikuti akun baru; dan pergi ke pengaturan akun dan melakukan hal-hal seperti mengubah gambar tampilan, kata CloudSEK.
Kesalahan Pengembang Aplikasi
Vendor mengaitkan masalah ini dengan pengembang aplikasi yang menyimpan kredensial autentikasi dalam aplikasi seluler mereka selama proses pengembangan sehingga mereka dapat berinteraksi dengan API Twitter. API memberi pengembang pihak ketiga cara untuk menyematkan fungsionalitas dan data Twitter ke dalam aplikasi mereka.
“Misalnya, jika aplikasi game memposting skor tinggi Anda di umpan Twitter Anda secara langsung, itu didukung oleh API Twitter,” kata CloudSEK dalam laporan temuannya. Namun, seringkali pengembang gagal menghapus kunci otentikasi sebelum mengunggah aplikasi ke toko aplikasi seluler, sehingga membuat pengguna Twitter berisiko tinggi, kata vendor keamanan.
“Mengekspos kunci API 'akses semua' pada dasarnya memberikan kunci ke pintu depan,” kata Scott Gerlach, salah satu pendiri dan CSO di StackHawk, penyedia layanan pengujian keamanan API. “Anda harus memahami cara mengelola akses pengguna ke API dan cara menyediakan akses ke API dengan aman. Jika Anda tidak memahaminya, Anda telah menempatkan diri Anda jauh di belakang bola delapan.”
CloudSEK diidentifikasi berbagai cara penyerang dapat menyalahgunakan kunci API yang terbuka dan tanda. Dengan menyematkannya ke dalam skrip, musuh berpotensi mengumpulkan pasukan bot Twitter untuk menyebarkan disinformasi dalam skala massal. “Pengambilalihan beberapa akun dapat digunakan untuk menyanyikan nada yang sama secara bersamaan, mengulangi pesan yang perlu dicairkan,” para peneliti memperingatkan. Penyerang juga dapat menggunakan akun Twitter terverifikasi untuk menyebarkan malware dan spam serta melakukan serangan phishing otomatis.
Masalah API Twitter yang diidentifikasi CloudSEK mirip dengan contoh kunci API rahasia yang dilaporkan sebelumnya dibocorkan atau diekspos secara keliru, kata Yaniv Balmas, wakil presiden penelitian di Salt Security. “Perbedaan utama antara kasus ini dan sebagian besar kasus sebelumnya adalah bahwa biasanya ketika kunci API dibiarkan terbuka, risiko utamanya adalah pada aplikasi/vendor.”
Ambil kunci API AWS S3 yang diekspos di GitHub, misalnya, katanya. “Namun, dalam kasus ini, karena pengguna mengizinkan aplikasi seluler untuk menggunakan akun Twitter mereka sendiri, masalah tersebut sebenarnya menempatkan mereka pada tingkat risiko yang sama dengan aplikasi itu sendiri.”
Kebocoran kunci rahasia semacam itu membuka potensi berbagai kemungkinan penyalahgunaan dan skenario serangan, kata Balmas.
Lonjakan Ancaman Seluler/IoT
Laporan CloudSEK datang pada minggu yang sama dengan laporan baru dari Verizon yang menyoroti peningkatan 22% dari tahun ke tahun dalam serangan siber besar yang melibatkan perangkat seluler dan IoT. Laporan Verizon, berdasarkan survei terhadap 632 profesional TI dan keamanan, memiliki 23% responden yang mengatakan bahwa organisasi mereka telah mengalami gangguan keamanan seluler besar dalam 12 bulan terakhir. Survei menunjukkan tingkat kekhawatiran yang tinggi atas ancaman keamanan seluler terutama di sektor ritel, keuangan, perawatan kesehatan, manufaktur, dan publik. Verizon mengaitkan peningkatan tersebut dengan pergeseran ke pekerjaan jarak jauh dan hibrida selama dua tahun terakhir dan ledakan yang dihasilkan dalam penggunaan jaringan rumah yang tidak dikelola dan perangkat pribadi untuk mengakses aset perusahaan.
“Serangan pada perangkat seluler — termasuk serangan yang ditargetkan — terus meningkat, seperti halnya proliferasi perangkat seluler untuk mengakses sumber daya perusahaan,” kata Mike Riley, spesialis solusi senior, keamanan perusahaan di Verizon Business. “Yang menonjol adalah fakta bahwa serangan meningkat dari tahun ke tahun, dengan responden menyatakan bahwa tingkat keparahan telah meningkat seiring dengan peningkatan jumlah perangkat seluler/IoT.”
Dampak terbesar bagi organisasi dari serangan pada perangkat seluler adalah kehilangan data dan waktu henti, tambahnya.
Kampanye phishing yang menargetkan perangkat seluler juga melonjak selama dua tahun terakhir. Telemetri yang dikumpulkan dan dianalisis Lookout dari lebih dari 200 juta perangkat dan 160 juta aplikasi menunjukkan bahwa 15% pengguna perusahaan dan 47% konsumen mengalami setidaknya satu serangan phishing seluler di setiap kuartal pada tahun 2021 — masing-masing meningkat 9% dan 30%, dari tahun sebelumnya.
“Kita perlu melihat tren keamanan di seluler dalam konteks melindungi data di cloud,” kata Hank Schless, manajer senior, solusi keamanan di Lookout. “Mengamankan perangkat seluler adalah langkah pertama yang penting, tetapi untuk sepenuhnya mengamankan organisasi Anda dan datanya, Anda harus dapat menggunakan risiko seluler sebagai salah satu dari banyak sinyal yang memberi makan kebijakan keamanan Anda untuk mengakses data di cloud, on-prem , dan aplikasi pribadi.”
