何千ものモバイル アプリが Twitter API キーを漏えいしています。その中には、攻撃者がこれらのアプリケーションのユーザーの Twitter アカウントにアクセスまたは乗っ取り、ソーシャル メディア プラットフォームを介して偽情報、スパム、およびマルウェアを拡散するためのボット軍団を編成する方法を提供するものもあります。
インドを拠点とする CloudSEK の研究者は、合計 3,207 のモバイル アプリケーションが有効な Twitter コンシューマー キーとシークレット キー情報を漏洩していることを特定したと述べました。 約 230 のアプリケーションが、OAuth アクセス トークンとアクセス シークレットも漏洩していることが判明しました。
これらの情報を組み合わせることで、攻撃者はこれらのアプリケーションのユーザーの Twitter アカウントにアクセスし、さまざまなアクションを実行することができます。 これには、メッセージの読み取りが含まれます。 ユーザーに代わってメッセージをリツイート、いいね、または削除する。 フォロワーの削除または新しいアカウントのフォロー。 アカウント設定に移動して、表示画像を変更するなどの操作を行うと、CloudSEK は述べています。
アプリケーション開発者のエラー
ベンダーは、アプリケーション開発者が開発プロセス中に認証資格情報をモバイル アプリケーション内に保存して、Twitter の API とやり取りできるようにしたことが問題の原因であると考えています。 この API により、サードパーティの開発者は、Twitter の機能とデータをアプリケーションに埋め込むことができます。
「たとえば、ゲーム アプリがあなたのハイスコアをあなたの Twitter フィードに直接投稿する場合、それは Twitter API によって強化されています」と CloudSEK は調査結果に関するレポートで述べています。 ただし、多くの場合、開発者はアプリをモバイル アプリ ストアにアップロードする前に認証キーを削除しないため、Twitter ユーザーが高いリスクにさらされると、セキュリティ ベンダーは述べています。
API セキュリティ テスト サービスのプロバイダーである StackHawk の共同創設者兼 CSO である Scott Gerlach 氏は、次のように述べています。 「API へのユーザー アクセスを管理する方法と、API へのアクセスを安全にプロビジョニングする方法を理解する必要があります。 もしあなたがそれを理解していないなら、あなたはエイトボールから大きく遅れをとっていることになります。」
CloudSEKが特定されました 攻撃者が公開された API キーを悪用できる複数の方法 そしてトークン。 それらをスクリプトに埋め込むことで、攻撃者は Twitter ボット軍団を編成して偽情報を大規模に広める可能性があります。 「複数のアカウントの乗っ取りを使用して、同じ曲を並行して歌い、支払いが必要なメッセージを繰り返すことができます」と研究者は警告しています。 攻撃者は、検証済みの Twitter アカウントを使用して、マルウェアやスパムを拡散したり、自動化されたフィッシング攻撃を実行したりすることもできます。
CloudSEK が特定した Twitter API の問題は、以前に報告されたシークレット API キーのインスタンスに似ています 誤って漏洩または暴露されたと、Salt Security の研究担当副社長 Yaniv Balmas は言います。 「このケースと以前のケースの主な違いは、通常、API キーが公開されたままになっている場合、主なリスクはアプリケーション/ベンダーにあるということです。」
たとえば、GitHub で公開されている AWS S3 API キーを例に挙げると、彼は言います。 「しかしながら、今回のケースでは、ユーザーはモバイルアプリケーションが自分の Twitter アカウントを使用することを許可しているため、この問題は実際に、アプリケーション自体と同じリスクレベルに彼らを置きます。」
このような秘密鍵の漏洩は、多数の悪用や攻撃シナリオの可能性を広げる可能性がある、と Balmas 氏は言います。
モバイル/IoT の脅威の急増
CloudSEK のレポートは、 Verizon からの新しいレポート これは、モバイルおよび IoT デバイスが関与する大規模なサイバー攻撃が前年比で 22% 増加していることを示しています。 Verizon のレポートは、632 人の IT およびセキュリティ専門家の調査に基づいており、回答者の 23% が、過去 12 か月間に組織が重大なモバイル セキュリティ侵害を経験したと述べています。 この調査では、特に小売、金融、ヘルスケア、製造、および公共部門におけるモバイル セキュリティの脅威に対する高い懸念が示されました。 Verizon は、この増加の原因は、過去 XNUMX 年間のリモートおよびハイブリッド ワークへの移行と、その結果、管理されていないホーム ネットワークや個人のデバイスを使用して企業の資産にアクセスすることが急増したことにあると考えています。
Verizon Business のエンタープライズ セキュリティ担当シニア ソリューション スペシャリストであるマイク ライリー (Mike Riley) は次のように述べています。 「際立っているのは、攻撃が年々増加しているという事実です。回答者は、モバイル/IoT デバイスの数の増加に伴い深刻度が増していると述べています。」
モバイル デバイスへの攻撃による組織への最大の影響は、データの損失とダウンタイムであると彼は付け加えます。
モバイル デバイスを標的としたフィッシング キャンペーンも、過去 200 年間で急増しています。 Lookout が 160 億台を超えるデバイスと 15 億 47 万台を超えるアプリから収集および分析したテレメトリによると、企業ユーザーの 2021% と消費者の 9% が、30 年の各四半期に少なくとも XNUMX 回はモバイル フィッシング攻撃を受けていました。それぞれ XNUMX% と XNUMX% の増加です。前年から。
Lookout のセキュリティ ソリューション担当シニア マネージャーであるハンク シュレス (Hank Schless) 氏は、次のように述べています。 「モバイル デバイスを保護することは重要な最初のステップですが、組織とそのデータを完全に保護するには、モバイル リスクを、クラウドやオンプレミスのデータにアクセスするためのセキュリティ ポリシーにフィードする多くのシグナルの XNUMX つとして使用できる必要があります。 、プライベート アプリ。」
