Milhares de aplicativos móveis vazando chaves de API do Twitter

Milhares de aplicativos móveis estão vazando chaves de API do Twitter – algumas das quais dão aos adversários uma maneira de acessar ou assumir as contas do Twitter de usuários desses aplicativos e montar um exército de bots para espalhar desinformação, spam e malware por meio da plataforma de mídia social.

Pesquisadores da CloudSEK, com sede na Índia, disseram que identificaram um total de 3,207 aplicativos móveis vazando informações válidas da chave do consumidor do Twitter e da chave secreta. Cerca de 230 dos aplicativos foram encontrados vazando tokens de acesso OAuth e segredos de acesso também.

Juntas, as informações dão aos invasores uma maneira de acessar as contas do Twitter dos usuários desses aplicativos e realizar diversas ações. Isso inclui a leitura de mensagens; retweetar, curtir ou excluir mensagens em nome do usuário; remover seguidores ou seguir novas contas; e ir para as configurações da conta e fazer coisas como alterar a imagem de exibição, disse CloudSEK.

Erro do desenvolvedor do aplicativo

O fornecedor atribuiu o problema aos desenvolvedores de aplicativos que salvavam as credenciais de autenticação em seu aplicativo móvel durante o processo de desenvolvimento para que pudessem interagir com a API do Twitter. A API oferece aos desenvolvedores terceirizados uma maneira de incorporar a funcionalidade e os dados do Twitter em seus aplicativos.

“Por exemplo, se um aplicativo de jogos publica sua pontuação mais alta diretamente no feed do Twitter, ele é alimentado pela API do Twitter”, disse CloudSEK em um relatório sobre suas descobertas. Muitas vezes, porém, os desenvolvedores não removem as chaves de autenticação antes de enviar o aplicativo para uma loja de aplicativos móveis, expondo assim os usuários do Twitter a um risco maior, disse o fornecedor de segurança.

“Expor uma chave de API de 'acesso total' é essencialmente entregar as chaves da porta da frente”, diz Scott Gerlach, cofundador e CSO da StackHawk, fornecedora de serviços de teste de segurança de API. “Você precisa entender como gerenciar o acesso do usuário a uma API e como provisionar com segurança o acesso à API. Se você não entende isso, você se colocou muito atrás da bola oito”.

CloudSEK identificado várias maneiras pelas quais os invasores podem abusar das chaves de API expostas e token. Ao incorporá-los em um script, um adversário poderia montar um exército de bots no Twitter para espalhar desinformação em grande escala. “Múltiplas aquisições de contas podem ser usadas para cantar a mesma música em conjunto, reiterando a mensagem que precisa ser desembolsada”, alertaram os pesquisadores. Os invasores também podem usar contas verificadas do Twitter para espalhar malware e spam e realizar ataques de phishing automatizados.

O problema da API do Twitter que o CloudSEK identificou é semelhante a instâncias relatadas anteriormente de chaves de API secretas sendo erroneamente vazado ou exposto, diz Yaniv Balmas, vice-presidente de pesquisa da Salt Security. “A principal diferença entre este caso e a maioria dos anteriores é que geralmente quando uma chave de API fica exposta, o maior risco é para o aplicativo/fornecedor.”

Pegue as chaves de API do AWS S3 expostas no GitHub, por exemplo, diz ele. “Nesse caso, no entanto, como os usuários permitem que o aplicativo móvel use suas próprias contas do Twitter, o problema os coloca no mesmo nível de risco que o próprio aplicativo.”

Esses vazamentos de chaves secretas abrem o potencial para vários possíveis abusos e cenários de ataque, diz Balmas.

Surto de ameaças móveis/IoT

O relatório da CloudSEK chega na mesma semana em que um novo relatório da Verizon que destacou um aumento de 22% ano a ano nos principais ataques cibernéticos envolvendo dispositivos móveis e IoT. O relatório da Verizon, baseado em uma pesquisa com 632 profissionais de TI e segurança, teve 23% dos entrevistados dizendo que suas organizações sofreram um grande comprometimento de segurança móvel nos últimos 12 meses. A pesquisa mostrou um alto nível de preocupação com as ameaças à segurança móvel, especialmente nos setores de varejo, financeiro, saúde, manufatura e público. A Verizon atribuiu o aumento à mudança para trabalho remoto e híbrido nos últimos dois anos e à explosão resultante no uso de redes domésticas não gerenciadas e dispositivos pessoais para acessar ativos corporativos.

“Os ataques a dispositivos móveis – incluindo ataques direcionados – continuam a aumentar, assim como a proliferação de dispositivos móveis para acessar recursos corporativos”, diz Mike Riley, especialista sênior em soluções de segurança corporativa da Verizon Business. “O que se destaca é o fato de que os ataques aumentam ano a ano, com os entrevistados afirmando que a gravidade cresceu junto com o aumento do número de dispositivos móveis/IoT.”

O maior impacto para as organizações de ataques a dispositivos móveis foi a perda de dados e o tempo de inatividade, acrescenta.

As campanhas de phishing direcionadas a dispositivos móveis também dispararam nos últimos dois anos. A telemetria que a Lookout coletou e analisou de mais de 200 milhões de dispositivos e 160 milhões de aplicativos mostrou que 15% dos usuários corporativos e 47% dos consumidores sofreram pelo menos um ataque de phishing móvel em cada trimestre de 2021 – um aumento de 9% e 30%, respectivamente, do ano anterior.

“Precisamos analisar as tendências de segurança em dispositivos móveis no contexto da proteção de dados na nuvem”, diz Hank Schless, gerente sênior de soluções de segurança da Lookout. “Proteger o dispositivo móvel é um primeiro passo importante, mas para proteger totalmente sua organização e seus dados, você precisa ser capaz de usar o risco móvel como um dos muitos sinais que alimentam suas políticas de segurança para acessar dados na nuvem, no local , e aplicativos privados.”