Tysiące aplikacji mobilnych wyciekają klucze API Twittera — niektóre z nich umożliwiają przeciwnikom dostęp lub przejęcie kont użytkowników tych aplikacji na Twitterze i tworzenie armii botów do rozpowszechniania dezinformacji, spamu i złośliwego oprogramowania za pośrednictwem platformy mediów społecznościowych.
Badacze z CloudSEK z siedzibą w Indiach poinformowali, że zidentyfikowali łącznie 3,207 aplikacji mobilnych, które wyciekły z ważnych informacji o kluczu klienta Twittera i kluczu tajnym. Około 230 aplikacji wykryło wyciek tokenów dostępu OAuth i sekretów dostępu.
Łącznie informacje te dają atakującym możliwość uzyskania dostępu do kont Twitter użytkowników tych aplikacji i wykonywania różnych działań. Obejmuje to czytanie wiadomości; przesyłanie dalej, polubienie lub usuwanie wiadomości w imieniu użytkownika; usuwanie obserwujących lub obserwowanie nowych kont; i przechodząc do ustawień konta i robiąc takie rzeczy, jak zmiana wyświetlanego obrazu, powiedział CloudSEK.
Błąd programisty aplikacji
Dostawca przypisał ten problem twórcom aplikacji, którzy zapisali dane uwierzytelniające w swojej aplikacji mobilnej podczas procesu rozwoju, aby mogli wchodzić w interakcje z API Twittera. Interfejs API umożliwia zewnętrznym programistom osadzenie funkcji i danych Twittera w swoich aplikacjach.
„Na przykład, jeśli aplikacja do gier publikuje Twój najlepszy wynik bezpośrednio na Twoim kanale Twittera, jest obsługiwana przez interfejs API Twittera” – powiedział CloudSEK w raporcie na temat swoich ustaleń. Jednak często programiści nie usuwają kluczy uwierzytelniających przed przesłaniem aplikacji do sklepu z aplikacjami mobilnymi, narażając w ten sposób użytkowników Twittera na zwiększone ryzyko, powiedział dostawca zabezpieczeń.
„Ujawnienie klucza API 'wszystkiego dostępu' jest zasadniczo rozdawaniem kluczy do drzwi wejściowych”, mówi Scott Gerlach, współzałożyciel i CSO w StackHawk, dostawcy usług testowania bezpieczeństwa API. „Musisz zrozumieć, jak zarządzać dostępem użytkowników do interfejsu API i jak bezpiecznie zapewniać dostęp do interfejsu API. Jeśli tego nie rozumiesz, jesteś daleko za ósemką.
Zidentyfikowano CloudSEK wiele sposobów, w jakie atakujący mogą nadużywać ujawnionych kluczy API i token. Umieszczając je w skrypcie, przeciwnik może potencjalnie stworzyć armię botów Twittera, aby rozpowszechniać dezinformację na masową skalę. „Wiele przejęć kont można wykorzystać do zaśpiewania tej samej melodii w tandemie, powtarzając przesłanie, które należy wydać” – ostrzegają naukowcy. Osoby atakujące mogą również wykorzystywać zweryfikowane konta na Twitterze do rozprzestrzeniania złośliwego oprogramowania i spamu oraz przeprowadzania zautomatyzowanych ataków phishingowych.
Zidentyfikowany przez CloudSEK problem z interfejsem Twitter API jest podobny do wcześniej zgłoszonych wystąpień tajnych kluczy API omyłkowo wyciek lub ujawnienie, mówi Yaniv Balmas, wiceprezes ds. badań w Salt Security. „Główna różnica między tym przypadkiem a większością poprzednich polega na tym, że zwykle, gdy klucz API pozostaje odsłonięty, głównym ryzykiem jest aplikacja/dostawca”.
Weźmy na przykład klucze API AWS S3 udostępnione na GitHub, mówi. „W tym przypadku jednak, ponieważ użytkownicy zezwalają aplikacji mobilnej na korzystanie z własnych kont na Twitterze, problem faktycznie stawia ich na tym samym poziomie ryzyka, co sama aplikacja”.
Takie wycieki tajnych kluczy otwierają możliwość wielu możliwych nadużyć i scenariuszy ataków, mówi Balmas.
Wzrost zagrożeń mobilnych/IoT
Raport CloudSEK pojawia się w tym samym tygodniu, co nowy raport z Verizon który uwydatnił 22-procentowy wzrost liczby poważnych cyberataków z roku na rok na urządzenia mobilne i urządzenia IoT. W raporcie firmy Verizon, opartym na ankiecie przeprowadzonej wśród 632 specjalistów IT i bezpieczeństwa, 23% respondentów stwierdziło, że ich organizacje doświadczyły poważnego naruszenia bezpieczeństwa mobilnego w ciągu ostatnich 12 miesięcy. Badanie wykazało wysoki poziom zaniepokojenia zagrożeniami bezpieczeństwa mobilnego, zwłaszcza w sektorach detalicznym, finansowym, opieki zdrowotnej, produkcji i publicznym. Verizon przypisał ten wzrost przejściu na pracę zdalną i hybrydową w ciągu ostatnich dwóch lat i wynikającej z tego eksplozji wykorzystania niezarządzanych sieci domowych i urządzeń osobistych w celu uzyskania dostępu do zasobów przedsiębiorstwa.
„Ataki na urządzenia mobilne — w tym ataki ukierunkowane — stale rosną, podobnie jak rozprzestrzenianie się urządzeń mobilnych w celu uzyskania dostępu do zasobów korporacyjnych” — mówi Mike Riley, starszy specjalista ds. rozwiązań w dziale bezpieczeństwa korporacyjnego w Verizon Business. „Wyróżnia się faktem, że liczba ataków rośnie z roku na rok, a respondenci stwierdzili, że dotkliwość wzrosła wraz ze wzrostem liczby urządzeń mobilnych/IoT”.
Dodaje, że największy wpływ na organizacje w wyniku ataków na urządzenia mobilne miała utrata danych i przestoje.
Kampanie phishingowe skierowane na urządzenia mobilne również zyskały na popularności w ciągu ostatnich dwóch lat. Dane telemetryczne zebrane i przeanalizowane przez Lookout z ponad 200 milionów urządzeń i 160 milionów aplikacji wykazały, że 15% użytkowników korporacyjnych i 47% konsumentów doświadczyło co najmniej jednego mobilnego ataku phishingowego w każdym kwartale 2021 r. — wzrost odpowiednio o 9% i 30%. z poprzedniego roku.
„Musimy przyjrzeć się trendom bezpieczeństwa w urządzeniach mobilnych w kontekście ochrony danych w chmurze”, mówi Hank Schless, starszy menedżer ds. rozwiązań bezpieczeństwa w Lookout. „Zabezpieczenie urządzenia mobilnego to ważny pierwszy krok, ale aby w pełni zabezpieczyć swoją organizację i jej dane, musisz mieć możliwość wykorzystania ryzyka mobilnego jako jednego z wielu sygnałów, które zasilają Twoje zasady bezpieczeństwa dotyczące dostępu do danych w chmurze, lokalnie i prywatne aplikacje”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych