Na tisoče mobilnih aplikacij pušča ključe API za Twitter – nekateri od njih nasprotnikom omogočajo dostop do računov Twitter uporabnikov teh aplikacij ali njihovo prevzemanje ter sestavljanje vojske botov za širjenje dezinformacij, neželene pošte in zlonamerne programske opreme prek platforme družbenih medijev.
Raziskovalci iz indijskega podjetja CloudSEK so povedali, da so odkrili skupno 3,207 mobilnih aplikacij, iz katerih uhajajo veljavni uporabniški ključ Twitterja in tajni ključ. Pri približno 230 aplikacijah je bilo ugotovljeno, da puščajo žetone za dostop OAuth in skrivnosti za dostop.
Skupaj te informacije napadalcem omogočajo dostop do Twitter računov uporabnikov teh aplikacij in izvajanje različnih dejanj. To vključuje branje sporočil; ponovno tvitanje, všečkanje ali brisanje sporočil v imenu uporabnika; odstranjevanje sledilcev ali sledenje novim računom; in pojdite v nastavitve računa in naredite stvari, kot je spreminjanje slike na zaslonu, je dejal CloudSEK.
Napaka razvijalca aplikacije
Prodajalec je težavo pripisal razvijalcem aplikacij, ki so med razvojnim procesom shranili poverilnice za preverjanje pristnosti znotraj svoje mobilne aplikacije, da lahko komunicirajo s Twitterjevim API-jem. API omogoča razvijalcem tretjih oseb, da v svoje aplikacije vdelajo funkcionalnost in podatke Twitterja.
"Na primer, če aplikacija za igre na srečo objavi vaš najboljši rezultat neposredno na vašem viru Twitterja, jo poganja Twitter API," je CloudSEK dejal v poročilu o svojih ugotovitvah. Vendar pa razvijalci pogosto ne odstranijo ključev za preverjanje pristnosti, preden aplikacijo naložijo v trgovino z mobilnimi aplikacijami, s čimer uporabnike Twitterja izpostavijo povečanemu tveganju, je dejal prodajalec varnosti.
»Izpostavitev ključa API za 'popoln dostop' je v bistvu podelitev ključev vhodnih vrat,« pravi Scott Gerlach, soustanovitelj in CSO pri StackHawku, ponudniku storitev testiranja varnosti API. »Razumeti morate, kako upravljati uporabniški dostop do API-ja in kako varno zagotoviti dostop do API-ja. Če tega ne razumete, ste se postavili daleč za osmico.”
Identificiran CloudSEK več načinov, kako lahko napadalci zlorabijo izpostavljene ključe API in žeton. Če jih vgradi v skript, bi lahko nasprotnik potencialno sestavil vojsko Twitter botov za množično širjenje dezinformacij. "Več prevzemov računov je mogoče uporabiti za petje iste melodije v tandemu in ponavljanje sporočila, ki ga je treba izplačati," so opozorili raziskovalci. Napadalci lahko uporabijo tudi preverjene račune Twitter za širjenje zlonamerne programske opreme in neželene pošte ter za izvajanje avtomatiziranih lažnih napadov.
Težava z API-jem za Twitter, ki jo je identificiral CloudSEK, je podobna predhodno prijavljenim primerom skrivnih ključev API-ja pomotoma uhaja ali je izpostavljena, pravi Yaniv Balmas, podpredsednik raziskave pri Salt Security. "Glavna razlika med tem primerom in večino prejšnjih je, da običajno, ko ključ API ostane izpostavljen, je največje tveganje za aplikacijo/prodajalca."
Vzemimo za primer ključe API-ja AWS S3, ki so izpostavljeni na GitHubu, pravi. "Ker pa v tem primeru uporabniki mobilni aplikaciji dovolijo uporabo njihovih lastnih računov Twitter, jih to vprašanje dejansko postavlja na enako stopnjo tveganja kot aplikacija sama."
Takšno puščanje skrivnih ključev odpira možnost za številne možne zlorabe in scenarije napadov, pravi Balmas.
Naval groženj za mobilne naprave/IoT
Poročilo CloudSEK je objavljeno isti teden kot novo poročilo podjetja Verizon ki je poudaril 22-odstotno medletno povečanje večjih kibernetskih napadov, ki vključujejo mobilne naprave in naprave IoT. Verizonovo poročilo, ki temelji na raziskavi 632 IT in varnostnih strokovnjakov, je 23 % vprašanih izjavilo, da je njihova organizacija v zadnjih 12 mesecih doživela velik kompromis glede mobilne varnosti. Raziskava je pokazala visoko stopnjo zaskrbljenosti zaradi groženj mobilni varnosti, zlasti v maloprodajnem, finančnem, zdravstvenem, proizvodnem in javnem sektorju. Verizon je povečanje pripisal prehodu na oddaljeno in hibridno delo v zadnjih dveh letih in posledični eksploziji uporabe neupravljanih domačih omrežij in osebnih naprav za dostop do sredstev podjetja.
»Napadi na mobilne naprave – vključno s ciljno usmerjenimi napadi – se še naprej povečujejo, prav tako širjenje mobilnih naprav za dostop do virov podjetja,« pravi Mike Riley, višji specialist za rešitve, varnost podjetij pri Verizon Business. "Kar izstopa, je dejstvo, da napadi naraščajo iz leta v leto, pri čemer anketiranci navajajo, da je njihova resnost narasla skupaj s povečanjem števila mobilnih/IoT naprav."
Največji vpliv napadov na mobilne naprave na organizacije je imela izguba podatkov in izpadi, dodaja.
Tudi kampanje lažnega predstavljanja, ki ciljajo na mobilne naprave, so se v zadnjih dveh letih povečale. Telemetrija, ki jo je Lookout zbral in analiziral iz več kot 200 milijonov naprav in 160 milijonov aplikacij, je pokazala, da je 15 % poslovnih uporabnikov in 47 % potrošnikov doživelo vsaj en napad mobilnega lažnega predstavljanja v vsakem četrtletju leta 2021 – 9 % oziroma 30 % povečanje, iz prejšnjega leta.
»Varnostne trende na mobilnih napravah moramo pogledati v kontekstu zaščite podatkov v oblaku,« pravi Hank Schless, višji vodja varnostnih rešitev pri Lookoutu. »Zaščita mobilne naprave je pomemben prvi korak, a če želite v celoti zaščititi svojo organizacijo in njene podatke, morate biti sposobni uporabiti mobilno tveganje kot enega od mnogih signalov, ki napajajo vaše varnostne politike za dostop do podatkov v oblaku, lokalno in zasebnih aplikacij.«
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
