Tusenvis av mobilapper lekker Twitter API-nøkler – noen av dem gir motstandere en måte å få tilgang til eller ta over Twitter-kontoene til brukere av disse applikasjonene og sette sammen en bothær for å spre desinformasjon, spam og skadelig programvare via den sosiale medieplattformen.
Forskere fra India-baserte CloudSEK sa at de hadde identifisert totalt 3,207 230 mobilapplikasjoner som lekker gyldig Twitter-forbrukernøkkel og hemmelig nøkkelinformasjon. Rundt XNUMX av applikasjonene ble funnet å lekke OAuth-tilgangstokener og tilgangshemmeligheter også.
Sammen gir informasjonen angripere en måte å få tilgang til Twitter-kontoene til brukerne av disse applikasjonene og utføre en rekke handlinger. Dette inkluderer å lese meldinger; retweeting, liking eller sletting av meldinger på brukerens vegne; fjerne følgere eller følge nye kontoer; og gå til kontoinnstillinger og gjøre ting som å endre visningsbildet, sa CloudSEK.
Applikasjonsutviklerfeil
Leverandøren tilskrev problemet til applikasjonsutviklere som lagrer autentiseringslegitimasjonen i mobilapplikasjonen sin under utviklingsprosessen, slik at de kan samhandle med Twitters API. API-en gir tredjepartsutviklere en måte å bygge inn Twitters funksjonalitet og data i applikasjonene deres.
"For eksempel, hvis en spillapp legger inn den høyeste poengsummen din på Twitter-feeden din direkte, er den drevet av Twitter API," sa CloudSEK i en rapport om funnene sine. Ofte unnlater imidlertid utviklere å fjerne autentiseringsnøklene før de laster opp appen til en mobilappbutikk, og utsetter dermed Twitter-brukere for økt risiko, sa sikkerhetsleverandøren.
"Å avsløre en 'all tilgang' API-nøkkel er i hovedsak å gi bort nøklene til inngangsdøren," sier Scott Gerlach, medgründer og CSO hos StackHawk, en leverandør av API-sikkerhetstesttjenester. "Du må forstå hvordan du administrerer brukertilgang til en API og hvordan du kan levere tilgang til API på en sikker måte. Hvis du ikke forstår det, har du lagt deg langt bak åtteballen.»
CloudSEK identifisert flere måter angripere kan misbruke de eksponerte API-nøklene på og token. Ved å bygge dem inn i et manus, kan en motstander potensielt sette sammen en Twitter-bothær for å spre desinformasjon i masseskala. "Flere kontoovertakelser kan brukes til å synge den samme melodien i tandem, og gjenta meldingen som må utbetales," advarte forskerne. Angripere kan også bruke verifiserte Twitter-kontoer til å spre skadelig programvare og spam og utføre automatiserte phishing-angrep.
Twitter API-problemet som CloudSEK identifiserte er beslektet med tidligere rapporterte tilfeller av hemmelige API-nøkler blir feilaktig lekket eller eksponert, sier Yaniv Balmas, visepresident for forskning ved Salt Security. "Hovedforskjellen mellom dette tilfellet og de fleste av de forrige er at vanligvis når en API-nøkkel blir eksponert, er den største risikoen for applikasjonen/leverandøren."
Ta AWS S3 API-nøklene som er eksponert på GitHub, for eksempel, sier han. "I dette tilfellet, men siden brukere tillater mobilapplikasjonen å bruke sine egne Twitter-kontoer, setter problemet dem faktisk på samme risikonivå som selve applikasjonen."
Slike lekkasjer av hemmelige nøkler åpner potensialet for en rekke mulige misbruk og angrepsscenarier, sier Balmas.
Økning i mobil/IoT-trusler
CloudSEKs rapport kommer samme uke som en ny rapport fra Verizon som fremhevet en økning på 22 % fra år til år i større cyberangrep som involverer mobil- og IoT-enheter. Verizons rapport, basert på en undersøkelse blant 632 IT- og sikkerhetseksperter, hadde 23 % av respondentene som sa at deres organisasjoner har opplevd et stort mobilsikkerhetskompromiss de siste 12 månedene. Undersøkelsen viste en høy grad av bekymring for mobilsikkerhetstrusler, spesielt i detaljhandel, finans, helsevesen, produksjon og offentlig sektor. Verizon tilskrev økningen til overgangen til eksternt og hybridarbeid de siste to årene og den resulterende eksplosjonen i bruken av uadministrerte hjemmenettverk og personlige enheter for å få tilgang til bedriftsressurser.
"Angrep på mobile enheter - inkludert målrettede angrep - fortsetter å øke, og det samme gjør utbredelsen av mobile enheter for å få tilgang til bedriftens ressurser," sier Mike Riley, senior løsningsspesialist, enterprise security hos Verizon Business. "Det som skiller seg ut er det faktum at angrep øker fra år til år, med respondenter som sier at alvorlighetsgraden har vokst sammen med økningen i antall mobile/IoT-enheter."
Den største konsekvensen for organisasjoner fra angrep på mobile enheter var tap av data og nedetid, legger han til.
Phishing-kampanjer rettet mot mobile enheter har også økt kraftig de siste to årene. Telemetri som Lookout samlet inn og analyserte fra over 200 millioner enheter og 160 millioner apper viste at 15 % av bedriftsbrukerne og 47 % av forbrukerne opplevde minst ett mobilnettfiskingangrep i hvert kvartal i 2021 – en økning på henholdsvis 9 % og 30 %. fra året før.
"Vi må se på sikkerhetstrender på mobil i sammenheng med å beskytte data i skyen," sier Hank Schless, seniorleder for sikkerhetsløsninger hos Lookout. "Sikring av den mobile enheten er et viktig første skritt, men for å sikre organisasjonen din og dens data fullt ut, må du være i stand til å bruke mobilrisiko som et av de mange signalene som mater sikkerhetspolicyene dine for tilgang til data i skyen, on-prem , og private apper."
