Duizenden mobiele apps lekken Twitter API-sleutels - waarvan sommige kwaadwillenden een manier geven om toegang te krijgen tot de Twitter-accounts van gebruikers van deze applicaties of deze over te nemen en een botleger samen te stellen voor het verspreiden van desinformatie, spam en malware via het socialemediaplatform.
Onderzoekers van het in India gevestigde CloudSEK zeiden dat ze in totaal 3,207 mobiele applicaties hadden geรฏdentificeerd die geldige Twitter Consumer Key en Secret Key-informatie lekten. Ongeveer 230 van de applicaties lekten ook OAuth-toegangstokens en toegangsgeheimen.
Samen geeft de informatie aanvallers een manier om toegang te krijgen tot de Twitter-accounts van de gebruikers van deze applicaties en om verschillende acties uit te voeren. Dit omvat het lezen van berichten; namens de gebruiker berichten retweeten, leuk vinden of verwijderen; volgers verwijderen of nieuwe accounts volgen; en naar accountinstellingen gaan en dingen doen zoals het wijzigen van de weergaveafbeelding, zei CloudSEK.
Fout bij applicatieontwikkelaar
De leverancier schreef het probleem toe aan applicatieontwikkelaars die de authenticatiegegevens tijdens het ontwikkelingsproces in hun mobiele applicatie hebben opgeslagen, zodat ze kunnen communiceren met de API van Twitter. De API biedt externe ontwikkelaars een manier om de functionaliteit en gegevens van Twitter in hun applicaties in te bedden.
"Als een gaming-app bijvoorbeeld uw hoogste score rechtstreeks op uw Twitter-feed plaatst, wordt deze mogelijk gemaakt door de Twitter API", zei CloudSEK in een rapport over zijn bevindingen. Vaak slagen ontwikkelaars er echter niet in om de authenticatiesleutels te verwijderen voordat ze de app uploaden naar een mobiele app store, waardoor Twitter-gebruikers worden blootgesteld aan een verhoogd risico, aldus de beveiligingsleverancier.
"Het blootleggen van een 'all access' API-sleutel is in wezen het weggeven van de sleutels aan de voordeur", zegt Scott Gerlach, medeoprichter en CSO bij StackHawk, een leverancier van API-beveiligingstestservices. โJe moet begrijpen hoe je gebruikerstoegang tot een API beheert en hoe je veilig toegang tot de API kunt verlenen. Als je dat niet begrijpt, heb je jezelf ver achter de achtbal gezet."
CloudSEK geรฏdentificeerd meerdere manieren waarop aanvallers de blootgestelde API-sleutels kunnen misbruiken en teken. Door ze in een script in te bedden, zou een tegenstander mogelijk een Twitter-botleger kunnen samenstellen om op grote schaal desinformatie te verspreiden. "Meerdere accountovernames kunnen worden gebruikt om hetzelfde deuntje achter elkaar te zingen, waarbij de boodschap wordt herhaald die moet worden uitbetaald", waarschuwden de onderzoekers. Aanvallers kunnen ook geverifieerde Twitter-accounts gebruiken om malware en spam te verspreiden en om geautomatiseerde phishing-aanvallen uit te voeren.
Het Twitter API-probleem dat CloudSEK identificeerde, is verwant aan eerder gerapporteerde exemplaren van geheime API-sleutels per ongeluk worden gelekt of blootgesteld, zegt Yaniv Balmas, vice-president onderzoek bij Salt Security. "Het belangrijkste verschil tussen deze zaak en de meeste van de vorige is dat wanneer een API-sleutel wordt blootgesteld, het grootste risico voor de applicatie/leverancier ligt."
Neem bijvoorbeeld de AWS S3 API-sleutels die op GitHub worden weergegeven, zegt hij. "In dit geval echter, aangezien gebruikers de mobiele applicatie toestaan โโom hun eigen Twitter-accounts te gebruiken, plaatst het probleem hen in feite op hetzelfde risiconiveau als de applicatie zelf."
Dergelijke lekken van geheime sleutels openen het potentieel voor tal van mogelijke misbruiken en aanvalsscenario's, zegt Balmas.
Piek in mobiele/IoT-bedreigingen
Het rapport van CloudSEK komt in dezelfde week als een nieuw rapport van Verizon dat wees op een stijging van 22% op jaarbasis van grote cyberaanvallen waarbij mobiele en IoT-apparaten betrokken waren. In het rapport van Verizon, dat gebaseerd is op een enquรชte onder 632 IT- en beveiligingsprofessionals, zei 23% van de respondenten dat hun organisatie de afgelopen 12 maanden te maken heeft gehad met een groot probleem op het gebied van mobiele beveiliging. Uit het onderzoek bleek een grote mate van bezorgdheid over bedreigingen voor de mobiele veiligheid, met name in de detailhandel, de financiรซle sector, de gezondheidszorg, de productie en de publieke sector. Verizon schreef de toename toe aan de verschuiving naar extern en hybride werk in de afgelopen twee jaar en de daaruit voortvloeiende explosie in het gebruik van onbeheerde thuisnetwerken en persoonlijke apparaten om toegang te krijgen tot bedrijfsactiva.
"Aanvallen op mobiele apparaten - inclusief gerichte aanvallen - blijven toenemen, evenals de toename van mobiele apparaten om toegang te krijgen tot bedrijfsbronnen", zegt Mike Riley, senior oplossingsspecialist, enterprise security bij Verizon Business. "Wat opvalt, is het feit dat het aantal aanvallen jaar op jaar toeneemt, waarbij respondenten aangeven dat de ernst is toegenomen samen met de toename van het aantal mobiele/IoT-apparaten."
De grootste impact voor organisaties van aanvallen op mobiele apparaten was gegevensverlies en downtime, voegt hij eraan toe.
Phishing-campagnes die op mobiele apparaten zijn getarget, zijn de afgelopen twee jaar ook enorm gestegen. Uit telemetrie die Lookout verzamelde en analyseerde van meer dan 200 miljoen apparaten en 160 miljoen apps, bleek dat 15% van de zakelijke gebruikers en 47% van de consumenten in 2021 in elk kwartaal minstens รฉรฉn mobiele phishing-aanval ondervond - een stijging van respectievelijk 9% en 30% van het voorgaande jaar.
"We moeten kijken naar beveiligingstrends op mobiel in de context van het beschermen van gegevens in de cloud", zegt Hank Schless, senior manager beveiligingsoplossingen bij Lookout. โHet beveiligen van het mobiele apparaat is een belangrijke eerste stap, maar om uw organisatie en haar gegevens volledig te beveiligen, moet u mobiele risicoโs kunnen gebruiken als een van de vele signalen die uw beveiligingsbeleid voeden voor toegang tot gegevens in de cloud, on-premises. , en privรฉ-apps.โ
