수천 개의 모바일 앱이 Twitter API 키를 유출하고 있습니다. 그 중 일부는 공격자가 이러한 애플리케이션 사용자의 Twitter 계정에 액세스하거나 탈취하고 소셜 미디어 플랫폼을 통해 허위 정보, 스팸 및 맬웨어를 퍼뜨리기 위한 봇 군대를 구성할 수 있는 방법을 제공합니다.
인도에 본사를 둔 CloudSEK의 연구원들은 유효한 Twitter 소비자 키 및 비밀 키 정보를 유출하는 총 3,207개의 모바일 애플리케이션을 식별했다고 밝혔습니다. 애플리케이션 중 약 230개가 OAuth 액세스 토큰과 액세스 비밀을 유출하는 것으로 발견되었습니다.
이러한 정보는 공격자에게 이러한 애플리케이션 사용자의 Twitter 계정에 액세스하고 다양한 작업을 수행할 수 있는 방법을 제공합니다. 여기에는 메시지 읽기가 포함됩니다. 사용자를 대신하여 메시지를 리트윗, 좋아요 또는 삭제하는 행위 팔로워 제거 또는 새 계정 팔로우 계정 설정으로 이동하고 디스플레이 사진 변경과 같은 작업을 수행한다고 CloudSEK는 말했습니다.
애플리케이션 개발자 오류
벤더는 애플리케이션 개발자가 Twitter의 API와 상호 작용할 수 있도록 개발 프로세스 중에 모바일 애플리케이션 내에 인증 자격 증명을 저장하는 문제를 애플리케이션 개발자에게 돌렸습니다. API는 타사 개발자에게 Twitter의 기능과 데이터를 애플리케이션에 포함할 수 있는 방법을 제공합니다.
CloudSEK는 조사 결과 보고서에서 "예를 들어 게임 앱이 Twitter 피드에 직접 높은 점수를 게시하는 경우 Twitter API에 의해 구동됩니다."라고 밝혔습니다. 그러나 종종 개발자는 모바일 앱 스토어에 앱을 업로드하기 전에 인증 키를 제거하지 않아 Twitter 사용자가 높은 위험에 노출된다고 보안 공급업체는 말했습니다.
API 보안 테스트 서비스 제공업체인 StackHawk의 공동 창립자이자 CSO인 Scott Gerlach는 "'모든 액세스' API 키를 노출하는 것은 본질적으로 정문의 키를 제공하는 것과 같습니다."라고 말합니다. “API에 대한 사용자 액세스를 관리하는 방법과 API에 대한 액세스를 안전하게 프로비저닝하는 방법을 이해해야 합니다. 당신이 그것을 이해하지 못한다면, 당신은 XNUMX번 공보다 훨씬 뒤에 있는 것입니다.”
CloudSEK 식별됨 공격자가 노출된 API 키를 남용할 수 있는 여러 가지 방법 그리고 토큰. 이를 스크립트에 삽입함으로써 적들은 잠재적으로 트위터 봇 군대를 모아 허위 정보를 대량으로 퍼뜨릴 수 있습니다. 연구원들은 "여러 계정 탈취를 사용하여 같은 곡을 동시에 부르며 지출해야 할 메시지를 반복할 수 있습니다."라고 경고했습니다. 또한 공격자는 확인된 Twitter 계정을 사용하여 맬웨어 및 스팸을 유포하고 자동화된 피싱 공격을 수행할 수 있습니다.
CloudSEK가 식별한 Twitter API 문제는 이전에 보고된 비밀 API 키 인스턴스와 유사합니다. 실수로 유출되거나 노출됨라고 Salt Security의 연구 부사장인 Yaniv Balmas는 말합니다. "이 사례와 대부분의 이전 사례의 주요 차이점은 일반적으로 API 키가 노출된 상태로 있을 때 주요 위험이 애플리케이션/공급업체에 있다는 것입니다."
예를 들어 GitHub에 노출된 AWS S3 API 키를 예로 들어 보겠습니다. "그러나 이 경우 사용자는 모바일 애플리케이션이 자신의 트위터 계정을 사용하도록 허용하기 때문에 실제로 애플리케이션 자체와 동일한 위험 수준에 놓이게 됩니다."
이러한 비밀 키 유출은 수많은 남용 및 공격 시나리오의 가능성을 열어준다고 Balmas는 말합니다.
급증하는 모바일/IoT 위협
CloudSEK의 보고서는 같은 주에 나옵니다. Verizon의 새로운 보고서 이는 모바일 및 IoT 장치와 관련된 주요 사이버 공격이 전년 대비 22% 증가했음을 강조했습니다. 632명의 IT 및 보안 전문가를 대상으로 한 Verizon의 보고서에 따르면 응답자의 23%가 지난 12개월 동안 조직에서 주요 모바일 보안 침해를 경험했다고 답했습니다. 이번 설문조사에서는 특히 소매, 금융, 의료, 제조 및 공공 부문에서 모바일 보안 위협에 대한 높은 수준의 우려가 나타났습니다. Verizon은 지난 XNUMX년 동안 원격 및 하이브리드 작업으로의 전환과 기업 자산에 액세스하기 위해 관리되지 않는 홈 네트워크 및 개인 장치 사용이 폭발적으로 증가했기 때문이라고 밝혔습니다.
Verizon Business의 엔터프라이즈 보안 수석 솔루션 전문가인 Mike Riley는 “모바일 장치에 대한 공격(표적 공격 포함)이 계속 증가하고 있으며 기업 리소스에 액세스하는 모바일 장치가 확산되고 있습니다. "눈에 띄는 것은 모바일/IoT 장치의 수가 증가함에 따라 심각도가 증가했다고 응답자들과 함께 해마다 공격이 증가하고 있다는 사실입니다."
그는 모바일 장치에 대한 공격이 조직에 미치는 가장 큰 영향은 데이터 손실과 다운타임이라고 덧붙였습니다.
모바일 장치를 대상으로 하는 피싱 캠페인도 지난 200년 동안 급증했습니다. Lookout이 160억 개가 넘는 장치와 15억 47천만 개 이상의 앱에서 수집하고 분석한 원격 분석에 따르면 기업 사용자의 2021%와 소비자의 9%가 30년 매 분기마다 최소 XNUMX회의 모바일 피싱 공격을 경험했습니다. 이는 각각 XNUMX%와 XNUMX% 증가한 수치입니다. 전년도부터.
Lookout의 보안 솔루션 수석 관리자 Hank Schless는 "클라우드에서 데이터를 보호한다는 맥락에서 모바일의 보안 동향을 살펴볼 필요가 있습니다."라고 말합니다. "모바일 장치를 보호하는 것은 중요한 첫 단계이지만 조직과 데이터를 완전히 보호하려면 모바일 위험을 온프레미스 클라우드에서 데이터에 액세스하기 위한 보안 정책을 제공하는 많은 신호 중 하나로 사용할 수 있어야 합니다. , 비공개 앱.”
