Mii de aplicații mobile care scurg chei API Twitter

Mii de aplicații mobile scurg chei API Twitter - dintre care unele oferă adversarilor o modalitate de a accesa sau de a prelua conturile Twitter ale utilizatorilor acestor aplicații și de a aduna o armată de bot pentru a răspândi dezinformarea, spam-ul și programele malware prin intermediul platformei de socializare.

Cercetătorii de la CloudSEK, cu sediul în India, au declarat că au identificat un total de 3,207 de aplicații mobile care scurg informații valide despre cheia de consum și cheia secretă Twitter. Aproximativ 230 dintre aplicații au fost găsite cu scurgeri de jetoane de acces OAuth și secrete de acces.

Împreună, informațiile oferă atacatorilor o modalitate de a accesa conturile Twitter ale utilizatorilor acestor aplicații și de a efectua o varietate de acțiuni. Aceasta include citirea mesajelor; retweetarea, apreciarea sau ștergerea mesajelor în numele utilizatorului; eliminarea adepților sau urmărirea unor conturi noi; și să mergi la setările contului și să faci lucruri precum schimbarea imaginii afișate, a spus CloudSEK.

Eroare dezvoltator de aplicații

Vânzătorul a atribuit problema dezvoltatorilor de aplicații care salvează acreditările de autentificare în aplicația lor mobilă în timpul procesului de dezvoltare, astfel încât să poată interacționa cu API-ul Twitter. API-ul oferă dezvoltatorilor terți o modalitate de a încorpora funcționalitățile și datele Twitter în aplicațiile lor.

„De exemplu, dacă o aplicație de jocuri postează scorul tău cel mai mare pe feedul tău Twitter direct, este alimentată de API-ul Twitter”, a spus CloudSEK într-un raport despre descoperirile sale. Deseori, însă, dezvoltatorii nu reușesc să elimine cheile de autentificare înainte de a încărca aplicația într-un magazin de aplicații mobile, expunând astfel utilizatorii Twitter la riscuri sporite, a spus furnizorul de securitate.

„Expunerea unei chei API „toate acces” înseamnă, în esență, să dezvălui cheile de la ușa din față”, spune Scott Gerlach, co-fondator și CSO la StackHawk, un furnizor de servicii de testare a securității API. „Trebuie să înțelegeți cum să gestionați accesul utilizatorilor la un API și cum să furnizați în siguranță accesul la API. Dacă nu înțelegi asta, te-ai pus mult în spatele mingii opt.”

CloudSEK identificat mai multe moduri prin care atacatorii pot abuza de cheile API expuse și jeton. Înglobând-le într-un scenariu, un adversar ar putea aduna o armată de bot Twitter pentru a răspândi dezinformarea la scară largă. „Preluările mai multor conturi pot fi folosite pentru a cânta aceeași melodie în tandem, reiterând mesajul care trebuie plătit”, au avertizat cercetătorii. Atacatorii ar putea folosi, de asemenea, conturi verificate de Twitter pentru a răspândi programe malware și spam și pentru a efectua atacuri automate de phishing.

Problema API-ului Twitter pe care CloudSEK a identificat-o este asemănătoare cazurilor raportate anterior de chei API secrete fiind scurs sau expus din greșeală, spune Yaniv Balmas, vicepreședinte de cercetare la Salt Security. „Principala diferență între acest caz și majoritatea celor anterioare este că, de obicei, atunci când o cheie API este lăsată expusă, riscul major este pentru aplicație/furnizor.”

Luați cheile API AWS S3 expuse pe GitHub, de exemplu, spune el. „În acest caz, totuși, deoarece utilizatorii permit aplicației mobile să-și folosească propriile conturi Twitter, problema îi pune de fapt la același nivel de risc ca aplicația în sine.”

Astfel de scurgeri de chei secrete deschid potențialul pentru numeroase posibile abuzuri și scenarii de atac, spune Balmas.

Creșterea amenințărilor mobile/IoT

Raportul CloudSEK vine în aceeași săptămână cu un nou raport de la Verizon care a evidențiat o creștere de 22% de la an la an a atacurilor cibernetice majore care implică dispozitive mobile și IoT. Raportul Verizon, bazat pe un sondaj cu 632 de profesioniști în IT și securitate, a făcut ca 23% dintre respondenți să spună că organizațiile lor s-au confruntat cu un compromis major de securitate mobilă în ultimele 12 luni. Sondajul a arătat un nivel ridicat de îngrijorare cu privire la amenințările de securitate mobilă, în special în sectoarele de retail, financiar, asistență medicală, producție și public. Verizon a atribuit creșterea trecerii la munca la distanță și hibridă în ultimii doi ani și explozia rezultată în utilizarea rețelelor de acasă neadministrate și a dispozitivelor personale pentru a accesa activele întreprinderii.

„Atacurile asupra dispozitivelor mobile – inclusiv atacurile țintite – continuă să crească, la fel ca și proliferarea dispozitivelor mobile pentru a accesa resursele corporative”, spune Mike Riley, specialist senior în soluții, securitate pentru întreprinderi la Verizon Business. „Ceea ce iese în evidență este faptul că atacurile sunt în creștere de la an la an, respondenții afirmând că severitatea a crescut odată cu creșterea numărului de dispozitive mobile/IoT.”

Cel mai mare impact pentru organizații din cauza atacurilor asupra dispozitivelor mobile a fost pierderea de date și timpul de nefuncționare, adaugă el.

Campaniile de phishing care vizează dispozitivele mobile au crescut și ele în ultimii doi ani. Telemetria pe care Lookout a colectat și analizat de pe peste 200 de milioane de dispozitive și 160 de milioane de aplicații a arătat că 15% dintre utilizatorii întreprinderilor și 47% dintre consumatori au suferit cel puțin un atac de phishing pe mobil în fiecare trimestru în 2021 - o creștere de 9%, respectiv 30%, din anul precedent.

„Trebuie să analizăm tendințele de securitate pe mobil în contextul protecției datelor în cloud”, spune Hank Schless, senior manager, soluții de securitate la Lookout. „Securizarea dispozitivului mobil este un prim pas important, dar pentru a vă securiza pe deplin organizația și datele sale, trebuie să puteți utiliza riscul mobil ca unul dintre numeroasele semnale care alimentează politicile dvs. de securitate pentru accesarea datelor în cloud, on-prem. și aplicații private.”