אלפי אפליקציות לנייד מדליפות מפתחות API של Twitter - חלקם נותנים ליריבים דרך לגשת או להשתלט על חשבונות הטוויטר של משתמשי האפליקציות הללו ולהרכיב צבא בוט להפצת דיסאינפורמציה, ספאם ותוכנות זדוניות באמצעות פלטפורמת המדיה החברתית.
חוקרים מ-CloudSEK בהודו אמרו שהם זיהו בסך הכל 3,207 יישומים ניידים המדליפים מידע תקף על מפתח צרכן טוויטר ומפתח סודי. כ-230 מהיישומים נמצאו מדליפים גם אסימוני גישה של OAuth וסודות גישה.
יחד, המידע נותן לתוקפים דרך לגשת לחשבונות הטוויטר של המשתמשים באפליקציות הללו ולבצע מגוון פעולות. זה כולל קריאת הודעות; ציוץ מחדש, סימון לייק או מחיקת הודעות מטעם המשתמש; הסרת עוקבים או מעקב אחר חשבונות חדשים; ומעבר להגדרות החשבון וביצוע דברים כמו שינוי תמונת התצוגה, אמר CloudSEK.
שגיאת מפתח יישומים
הספק ייחס את הבעיה למפתחי אפליקציות ששמרו את אישורי האימות בתוך האפליקציה לנייד שלהם במהלך תהליך הפיתוח, כדי שיוכלו לקיים אינטראקציה עם ה-API של טוויטר. ה-API נותן למפתחי צד שלישי דרך להטמיע את הפונקציונליות והנתונים של טוויטר באפליקציות שלהם.
"לדוגמה, אם אפליקציית משחקים מפרסמת את הציון הגבוה שלך בפיד הטוויטר שלך ישירות, היא מופעלת על ידי ה-API של Twitter", אמרה CloudSEK בדו"ח על ממצאיה. עם זאת, לעתים קרובות מפתחים אינם מצליחים להסיר את מפתחות האימות לפני העלאת האפליקציה לחנות אפליקציות לנייד, ובכך חושפים את משתמשי טוויטר לסיכון מוגבר, אמר ספק האבטחה.
"חשיפת מפתח API של 'כל גישה' היא בעצם הענקת המפתחות לדלת הכניסה", אומר סקוט גרלך, מייסד שותף ו-CSO ב-StackHawk, ספקית שירותי בדיקות אבטחת API. "עליך להבין כיצד לנהל גישת משתמשים ל-API וכיצד לספק גישה מאובטחת ל-API. אם אתה לא מבין את זה, שמת את עצמך הרבה מאחורי כדור השמונה".
זוהה CloudSEK מספר דרכים שבהן תוקפים יכולים לעשות שימוש לרעה במפתחות ה-API החשופים ואסימון. על ידי הטמעתם בתסריט, יריב יכול להרכיב צבא טוויטר בוט כדי להפיץ דיסאינפורמציה בקנה מידה המוני. "ניתן להשתמש בהשתלטות מרובת חשבונות כדי לשיר את אותה מנגינה במקביל, ולחזור על המסר שצריך לשלם", הזהירו החוקרים. תוקפים יכולים גם להשתמש בחשבונות טוויטר מאומתים כדי להפיץ תוכנות זדוניות וספאם וכדי לבצע התקפות דיוג אוטומטיות.
בעיית ה-API של Twitter ש-CloudSEK זיהתה דומה למקרים שדווחו בעבר של מפתחות API סודיים דליפה או חשופה בטעות, אומר יניב בלמס, סגן נשיא למחקר ב-Salt Security. "ההבדל העיקרי בין המקרה הזה לבין רוב המקרים הקודמים הוא שבדרך כלל כאשר מפתח API נשאר חשוף, הסיכון העיקרי הוא לאפליקציה/ספק."
קחו למשל את מפתחות ה-API של AWS S3 שנחשפו ב-GitHub, הוא אומר. "במקרה זה, עם זאת, מכיוון שמשתמשים מתירים לאפליקציה לנייד להשתמש בחשבונות הטוויטר שלהם, הבעיה למעשה מציבה אותם באותה רמת סיכון כמו האפליקציה עצמה."
דליפות כאלה של מפתחות סודיים פותחות פוטנציאל למספר רב של התעללות ותרחישי תקיפה, אומר בלמס.
עלייה באיומי Mobile/IoT
הדוח של CloudSEK מגיע באותו שבוע כמו דוח חדש מ-Verizon שהדגיש עלייה של 22% משנה לשנה במתקפות סייבר גדולות הכוללות מכשירי נייד ו-IoT. בדו"ח של Verizon, המבוסס על סקר של 632 אנשי IT ואבטחה, 23% מהנשאלים אמרו שהארגונים שלהם חוו פשרה גדולה של אבטחה ניידת ב-12 החודשים האחרונים. הסקר הראה רמה גבוהה של דאגה לגבי איומי אבטחה ניידים במיוחד במגזר הקמעונאי, הפיננסי, הבריאות, הייצור והציבורי. Verizon ייחס את העלייה למעבר לעבודה מרחוק והיברידית במהלך השנתיים האחרונות ולפיצוץ שנבע מכך בשימוש ברשתות ביתיות לא מנוהלות ובמכשירים אישיים כדי לגשת לנכסים ארגוניים.
"התקפות על מכשירים ניידים - כולל התקפות ממוקדות - ממשיכות לעלות, וכך גם התפשטות המכשירים הניידים לגישה למשאבים ארגוניים", אומר מייק ריילי, מומחה פתרונות בכיר, אבטחה ארגונית ב-Verizon Business. "מה שבולט הוא העובדה שההתקפות גדלות משנה לשנה, כאשר המשיבים מצהירים שהחומרה גדלה יחד עם העלייה במספר מכשירי הסלולר/IoT".
ההשפעה הגדולה ביותר על ארגונים מהתקפות על מכשירים ניידים הייתה אובדן נתונים והשבתה, הוא מוסיף.
מסעות פרסום דיוג הממוקדים למכשירים ניידים זינקו גם כן במהלך השנתיים האחרונות. טלמטריה ש-Lookout אספה וניתחה מלמעלה מ-200 מיליון מכשירים ו-160 מיליון אפליקציות הראתה ש-15% מהמשתמשים הארגוניים ו-47% מהצרכנים חוו לפחות מתקפת דיוג נייד אחת בכל רבעון בשנת 2021 - עלייה של 9% ו-30%, בהתאמה, מהשנה הקודמת.
"אנחנו צריכים להסתכל על מגמות אבטחה במובייל בהקשר של הגנה על נתונים בענן", אומר האנק שלס, מנהל בכיר, פתרונות אבטחה בחברת Lookout. "אבטחת המכשיר הנייד הוא צעד ראשון חשוב, אבל כדי לאבטח את הארגון שלך והנתונים שלו באופן מלא, אתה צריך להיות מסוגל להשתמש בסיכון נייד כאחד מהאותות הרבים שמזינים את מדיניות האבטחה שלך לגישה לנתונים בענן, באופן מקומי. , ואפליקציות פרטיות."
