Tysiące aplikacji mobilnych wycieka klucze API Twittera

Tysiące aplikacji mobilnych wyciekają klucze API Twittera — niektóre z nich umożliwiają przeciwnikom dostęp lub przejęcie kont użytkowników tych aplikacji na Twitterze i tworzenie armii botów do rozpowszechniania dezinformacji, spamu i złośliwego oprogramowania za pośrednictwem platformy mediów społecznościowych.

Badacze z CloudSEK z siedzibą w Indiach poinformowali, że zidentyfikowali łącznie 3,207 aplikacji mobilnych, które wyciekły z ważnych informacji o kluczu klienta Twittera i kluczu tajnym. Około 230 aplikacji wykryło wyciek tokenów dostępu OAuth i sekretów dostępu.

Łącznie informacje te dają atakującym możliwość uzyskania dostępu do kont Twitter użytkowników tych aplikacji i wykonywania różnych działań. Obejmuje to czytanie wiadomości; przesyłanie dalej, polubienie lub usuwanie wiadomości w imieniu użytkownika; usuwanie obserwujących lub obserwowanie nowych kont; i przechodząc do ustawień konta i robiąc takie rzeczy, jak zmiana wyświetlanego obrazu, powiedział CloudSEK.

Błąd programisty aplikacji

Dostawca przypisał ten problem twórcom aplikacji, którzy zapisali dane uwierzytelniające w swojej aplikacji mobilnej podczas procesu rozwoju, aby mogli wchodzić w interakcje z API Twittera. Interfejs API umożliwia zewnętrznym programistom osadzenie funkcji i danych Twittera w swoich aplikacjach.

„Na przykład, jeśli aplikacja do gier publikuje Twój najlepszy wynik bezpośrednio na Twoim kanale Twittera, jest obsługiwana przez interfejs API Twittera” – powiedział CloudSEK w raporcie na temat swoich ustaleń. Jednak często programiści nie usuwają kluczy uwierzytelniających przed przesłaniem aplikacji do sklepu z aplikacjami mobilnymi, narażając w ten sposób użytkowników Twittera na zwiększone ryzyko, powiedział dostawca zabezpieczeń.

„Ujawnienie klucza API 'wszystkiego dostępu' jest zasadniczo rozdawaniem kluczy do drzwi wejściowych”, mówi Scott Gerlach, współzałożyciel i CSO w StackHawk, dostawcy usług testowania bezpieczeństwa API. „Musisz zrozumieć, jak zarządzać dostępem użytkowników do interfejsu API i jak bezpiecznie zapewniać dostęp do interfejsu API. Jeśli tego nie rozumiesz, jesteś daleko za ósemką.

Zidentyfikowano CloudSEK wiele sposobów, w jakie atakujący mogą nadużywać ujawnionych kluczy API i token. Umieszczając je w skrypcie, przeciwnik może potencjalnie stworzyć armię botów Twittera, aby rozpowszechniać dezinformację na masową skalę. „Wiele przejęć kont można wykorzystać do zaśpiewania tej samej melodii w tandemie, powtarzając przesłanie, które należy wydać” – ostrzegają naukowcy. Osoby atakujące mogą również wykorzystywać zweryfikowane konta na Twitterze do rozprzestrzeniania złośliwego oprogramowania i spamu oraz przeprowadzania zautomatyzowanych ataków phishingowych.

Zidentyfikowany przez CloudSEK problem z interfejsem Twitter API jest podobny do wcześniej zgłoszonych wystąpień tajnych kluczy API omyłkowo wyciek lub ujawnienie, mówi Yaniv Balmas, wiceprezes ds. badań w Salt Security. „Główna różnica między tym przypadkiem a większością poprzednich polega na tym, że zwykle, gdy klucz API pozostaje odsłonięty, głównym ryzykiem jest aplikacja/dostawca”.

Weźmy na przykład klucze API AWS S3 udostępnione na GitHub, mówi. „W tym przypadku jednak, ponieważ użytkownicy zezwalają aplikacji mobilnej na korzystanie z własnych kont na Twitterze, problem faktycznie stawia ich na tym samym poziomie ryzyka, co sama aplikacja”.

Takie wycieki tajnych kluczy otwierają możliwość wielu możliwych nadużyć i scenariuszy ataków, mówi Balmas.

Wzrost zagrożeń mobilnych/IoT

Raport CloudSEK pojawia się w tym samym tygodniu, co nowy raport z Verizon który uwydatnił 22-procentowy wzrost liczby poważnych cyberataków z roku na rok na urządzenia mobilne i urządzenia IoT. W raporcie firmy Verizon, opartym na ankiecie przeprowadzonej wśród 632 specjalistów IT i bezpieczeństwa, 23% respondentów stwierdziło, że ich organizacje doświadczyły poważnego naruszenia bezpieczeństwa mobilnego w ciągu ostatnich 12 miesięcy. Badanie wykazało wysoki poziom zaniepokojenia zagrożeniami bezpieczeństwa mobilnego, zwłaszcza w sektorach detalicznym, finansowym, opieki zdrowotnej, produkcji i publicznym. Verizon przypisał ten wzrost przejściu na pracę zdalną i hybrydową w ciągu ostatnich dwóch lat i wynikającej z tego eksplozji wykorzystania niezarządzanych sieci domowych i urządzeń osobistych w celu uzyskania dostępu do zasobów przedsiębiorstwa.

„Ataki na urządzenia mobilne — w tym ataki ukierunkowane — stale rosną, podobnie jak rozprzestrzenianie się urządzeń mobilnych w celu uzyskania dostępu do zasobów korporacyjnych” — mówi Mike Riley, starszy specjalista ds. rozwiązań w dziale bezpieczeństwa korporacyjnego w Verizon Business. „Wyróżnia się faktem, że liczba ataków rośnie z roku na rok, a respondenci stwierdzili, że dotkliwość wzrosła wraz ze wzrostem liczby urządzeń mobilnych/IoT”.

Dodaje, że największy wpływ na organizacje w wyniku ataków na urządzenia mobilne miała utrata danych i przestoje.

Kampanie phishingowe skierowane na urządzenia mobilne również zyskały na popularności w ciągu ostatnich dwóch lat. Dane telemetryczne zebrane i przeanalizowane przez Lookout z ponad 200 milionów urządzeń i 160 milionów aplikacji wykazały, że 15% użytkowników korporacyjnych i 47% konsumentów doświadczyło co najmniej jednego mobilnego ataku phishingowego w każdym kwartale 2021 r. — wzrost odpowiednio o 9% i 30%. z poprzedniego roku.

„Musimy przyjrzeć się trendom bezpieczeństwa w urządzeniach mobilnych w kontekście ochrony danych w chmurze”, mówi Hank Schless, starszy menedżer ds. rozwiązań bezpieczeństwa w Lookout. „Zabezpieczenie urządzenia mobilnego to ważny pierwszy krok, ale aby w pełni zabezpieczyć swoją organizację i jej dane, musisz mieć możliwość wykorzystania ryzyka mobilnego jako jednego z wielu sygnałów, które zasilają Twoje zasady bezpieczeństwa dotyczące dostępu do danych w chmurze, lokalnie i prywatne aplikacje”.