Migliaia di app mobili che perdono le chiavi API di Twitter

Migliaia di app mobili stanno perdendo chiavi API di Twitter, alcune delle quali offrono agli avversari un modo per accedere o assumere il controllo degli account Twitter degli utenti di queste applicazioni e assemblare un esercito di bot per diffondere disinformazione, spam e malware tramite la piattaforma dei social media.

I ricercatori di CloudSEK, con sede in India, hanno affermato di aver identificato un totale di 3,207 applicazioni mobili che trapelano informazioni valide su Twitter Consumer Key e Secret Key. Circa 230 delle applicazioni sono state trovate con perdite di token di accesso OAuth e segreti di accesso.

Insieme, le informazioni offrono agli aggressori un modo per accedere agli account Twitter degli utenti di queste applicazioni ed eseguire una serie di azioni. Ciò include la lettura dei messaggi; retweet, gradimento o eliminazione di messaggi per conto dell'utente; rimuovere follower o seguire nuovi account; e andando alle impostazioni dell'account e facendo cose come cambiare l'immagine del display, ha detto CloudSEK.

Errore dello sviluppatore dell'applicazione

Il fornitore ha attribuito il problema agli sviluppatori di applicazioni che hanno salvato le credenziali di autenticazione all'interno della loro applicazione mobile durante il processo di sviluppo in modo che possano interagire con l'API di Twitter. L'API offre agli sviluppatori di terze parti un modo per incorporare le funzionalità ei dati di Twitter nelle loro applicazioni.

"Ad esempio, se un'app di gioco pubblica direttamente il tuo punteggio più alto sul tuo feed Twitter, è alimentata dall'API di Twitter", ha affermato CloudSEK in un rapporto sui suoi risultati. Spesso, tuttavia, gli sviluppatori non riescono a rimuovere le chiavi di autenticazione prima di caricare l'app su un app store mobile, esponendo così gli utenti di Twitter a maggiori rischi, ha affermato il fornitore di servizi di sicurezza.

"Esporre una chiave API 'all access' significa essenzialmente dare via le chiavi della porta principale", afferma Scott Gerlach, co-fondatore e CSO di StackHawk, un fornitore di servizi di test di sicurezza API. "Devi capire come gestire l'accesso degli utenti a un'API e come fornire in modo sicuro l'accesso all'API. Se non lo capisci, ti sei messo molto dietro l'otto".

CloudSEK identificato diversi modi in cui gli aggressori possono abusare delle chiavi API esposte e gettone. Incorporandoli in una sceneggiatura, un avversario potrebbe potenzialmente assemblare un esercito di bot di Twitter per diffondere disinformazione su larga scala. "È possibile utilizzare più acquisizioni di account per cantare la stessa melodia in tandem, ribadendo il messaggio che deve essere erogato", hanno avvertito i ricercatori. Gli aggressori potrebbero anche utilizzare account Twitter verificati per diffondere malware e spam e per eseguire attacchi di phishing automatizzati.

Il problema dell'API di Twitter identificato da CloudSEK è simile a istanze di chiavi API segrete segnalate in precedenza essere erroneamente trapelato o esposto, afferma Yaniv Balmas, vicepresidente della ricerca presso Salt Security. "La principale differenza tra questo caso e la maggior parte dei precedenti è che di solito quando una chiave API viene lasciata esposta, il rischio maggiore è per l'applicazione/fornitore".

Prendi le chiavi API AWS S3 esposte su GitHub, ad esempio, dice. "In questo caso, tuttavia, poiché gli utenti consentono all'applicazione mobile di utilizzare i propri account Twitter, il problema li pone effettivamente allo stesso livello di rischio dell'applicazione stessa".

Tali fughe di chiavi segrete aprono il potenziale per numerosi possibili abusi e scenari di attacco, afferma Balmas.

Aumento delle minacce mobili/IoT

Il rapporto di CloudSEK arriva la stessa settimana di un nuovo rapporto da Verizon che ha evidenziato un aumento del 22% anno su anno dei principali attacchi informatici che coinvolgono dispositivi mobili e IoT. Il rapporto di Verizon, basato su un sondaggio tra 632 professionisti IT e della sicurezza, ha visto il 23% degli intervistati affermare che le proprie organizzazioni hanno subito un grave compromesso per la sicurezza mobile negli ultimi 12 mesi. L'indagine ha mostrato un alto livello di preoccupazione per le minacce alla sicurezza mobile, in particolare nei settori della vendita al dettaglio, finanziario, sanitario, manifatturiero e pubblico. Verizon ha attribuito l'aumento al passaggio al lavoro remoto e ibrido negli ultimi due anni e alla conseguente esplosione dell'uso di reti domestiche non gestite e dispositivi personali per accedere alle risorse aziendali.

"Gli attacchi ai dispositivi mobili, inclusi quelli mirati, continuano ad aumentare, così come la proliferazione di dispositivi mobili per accedere alle risorse aziendali", afferma Mike Riley, specialista senior in soluzioni per la sicurezza aziendale di Verizon Business. "Quello che spicca è il fatto che gli attacchi aumentano anno dopo anno, con gli intervistati che affermano che la gravità è cresciuta insieme all'aumento del numero di dispositivi mobili/IoT".

L'impatto maggiore per le organizzazioni degli attacchi ai dispositivi mobili è stato la perdita di dati e i tempi di inattività, aggiunge.

Anche le campagne di phishing rivolte ai dispositivi mobili sono aumentate vertiginosamente negli ultimi due anni. La telemetria che Lookout ha raccolto e analizzato da oltre 200 milioni di dispositivi e 160 milioni di app ha mostrato che il 15% degli utenti aziendali e il 47% dei consumatori hanno subito almeno un attacco di phishing mobile in ogni trimestre nel 2021, con un aumento rispettivamente del 9% e del 30%. dall'anno precedente.

"Dobbiamo esaminare le tendenze di sicurezza sui dispositivi mobili nel contesto della protezione dei dati nel cloud", afferma Hank Schless, senior manager, soluzioni di sicurezza di Lookout. "La protezione del dispositivo mobile è un primo passo importante, ma per proteggere completamente la tua organizzazione e i suoi dati, devi essere in grado di utilizzare il rischio mobile come uno dei tanti segnali che alimentano le tue politiche di sicurezza per l'accesso ai dati nel cloud, in locale e app private."