Тысячи мобильных приложений сливают ключи Twitter API

Тысячи мобильных приложений пропускают ключи Twitter API — некоторые из них дают злоумышленникам возможность получить доступ или завладеть учетными записями Twitter пользователей этих приложений и собрать армию ботов для распространения дезинформации, спама и вредоносных программ через платформу социальных сетей.

Исследователи из индийской компании CloudSEK заявили, что они выявили в общей сложности 3,207 мобильных приложений, в которых происходит утечка достоверной информации о потребительском ключе Twitter и секретном ключе. Было обнаружено, что примерно в 230 приложениях происходит утечка токенов доступа OAuth, а также секретов доступа.

Вместе эта информация дает злоумышленникам возможность получить доступ к учетным записям Twitter пользователей этих приложений и выполнять различные действия. Это включает в себя чтение сообщений; ретвитить, лайкать или удалять сообщения от имени пользователя; удаление подписчиков или подписка на новые аккаунты; и переход к настройкам учетной записи и выполнение таких действий, как изменение изображения на дисплее, сказал CloudSEK.

Ошибка разработчика приложения

Поставщик объяснил проблему тем, что разработчики приложений сохраняют учетные данные для аутентификации в своем мобильном приложении в процессе разработки, чтобы они могли взаимодействовать с API Twitter. API дает сторонним разработчикам возможность встраивать функции и данные Twitter в свои приложения.

«Например, если игровое приложение публикует ваш рекорд напрямую в вашей ленте в Твиттере, оно работает на основе API Твиттера», — говорится в отчете CloudSEK. Однако часто разработчики не удаляют ключи аутентификации перед загрузкой приложения в магазин мобильных приложений, тем самым подвергая пользователей Twitter повышенному риску.

«Предоставление ключа API «полного доступа» — это, по сути, передача ключей от входной двери», — говорит Скотт Герлах, соучредитель и директор по безопасности компании StackHawk, поставщика услуг по тестированию безопасности API. «Вы должны понимать, как управлять доступом пользователей к API и как безопасно предоставлять доступ к API. Если вы этого не понимаете, вы сильно отстали от восьмерки».

CloudSEK идентифицирован несколько способов, которыми злоумышленники могут злоупотреблять открытыми ключами API и жетон. Встраивая их в скрипт, злоумышленник потенциально может собрать армию ботов Twitter для массового распространения дезинформации. «Можно использовать несколько захватов аккаунтов, чтобы петь одну и ту же мелодию в тандеме, повторяя сообщение, которое необходимо распространить», — предупреждают исследователи. Злоумышленники также могут использовать проверенные учетные записи Twitter для распространения вредоносных программ и спама, а также для проведения автоматических фишинговых атак.

Проблема API Twitter, обнаруженная CloudSEK, аналогична ранее зарегистрированным случаям секретных ключей API. ошибочная утечка или разоблачение, — говорит Янив Балмас, вице-президент по исследованиям в Salt Security. «Основное отличие этого случая от большинства предыдущих заключается в том, что обычно, когда ключ API остается открытым, основной риск возникает для приложения/поставщика».

Возьмем, к примеру, ключи API AWS S3, размещенные на GitHub, — говорит он. «Однако в этом случае, поскольку пользователи разрешают мобильному приложению использовать свои собственные учетные записи Twitter, проблема фактически ставит их на тот же уровень риска, что и само приложение».

По словам Балмаса, такие утечки секретных ключей открывают возможности для многочисленных возможных злоупотреблений и сценариев атак.

Всплеск мобильных/IoT-угроз

Отчет CloudSEK выходит на той же неделе, что и новый отчет от Verizon это свидетельствует об увеличении на 22% по сравнению с прошлым годом числа крупных кибератак, связанных с мобильными устройствами и устройствами IoT. В отчете Verizon, основанном на опросе 632 ИТ-специалистов и специалистов по безопасности, 23% респондентов заявили, что за последние 12 месяцев их организации столкнулись с серьезным нарушением безопасности мобильных устройств. Опрос показал высокий уровень обеспокоенности по поводу угроз безопасности мобильных устройств, особенно в розничной торговле, финансовом секторе, здравоохранении, производстве и государственном секторе. Verizon объяснила этот рост переходом на удаленную и гибридную работу за последние два года и, как следствие, взрывным ростом использования неуправляемых домашних сетей и персональных устройств для доступа к корпоративным активам.

«Атаки на мобильные устройства, в том числе целевые атаки, продолжают расти, как и распространение мобильных устройств для доступа к корпоративным ресурсам, — говорит Майк Райли, старший специалист по корпоративным решениям в Verizon Business. «Выделяется тот факт, что количество атак увеличивается из года в год, и респонденты заявляют, что серьезность растет вместе с увеличением количества мобильных устройств / устройств IoT».

Он добавляет, что наибольшее влияние атак на мобильные устройства на организации оказали потеря данных и простои.

Фишинговые кампании, нацеленные на мобильные устройства, также резко возросли за последние два года. Телеметрия, которую Lookout собрала и проанализировала с более чем 200 миллионов устройств и 160 миллионов приложений, показала, что 15% корпоративных пользователей и 47% потребителей подвергались как минимум одной мобильной фишинговой атаке в каждом квартале 2021 года — рост на 9% и 30% соответственно. с предыдущего года.

«Нам необходимо рассмотреть тенденции в области безопасности мобильных устройств в контексте защиты данных в облаке, — говорит Хэнк Шлесс, старший менеджер по решениям для обеспечения безопасности в Lookout. «Защита мобильного устройства — это важный первый шаг, но для полной защиты вашей организации и ее данных вам необходимо иметь возможность использовать мобильный риск как один из многих сигналов, которые подпитывают ваши политики безопасности для доступа к данным в облаке, локально. и частные приложения».