Tusentals mobilappar läcker Twitter API-nycklar - av vilka några ger motståndare ett sätt att komma åt eller ta över Twitter-konton för användare av dessa applikationer och samla en botarmé för att sprida desinformation, spam och skadlig programvara via sociala medieplattformar.
Forskare från Indien-baserade CloudSEK sa att de hade identifierat totalt 3,207 230 mobilapplikationer som läcker giltig Twitter Consumer Key och Secret Key-information. Cirka XNUMX av applikationerna hittades också läcka OAuth-åtkomsttokens och åtkomsthemligheter.
Tillsammans ger informationen angripare ett sätt att komma åt Twitter-konton för användare av dessa applikationer och utföra en mängd olika åtgärder. Detta inkluderar att läsa meddelanden; retweeting, gilla eller radera meddelanden för användarens räkning; ta bort följare eller följa nya konton; och gå till kontoinställningar och göra saker som att ändra visningsbilden, sa CloudSEK.
Applikationsutvecklarfel
Säljaren tillskrev problemet till applikationsutvecklare som sparade autentiseringsuppgifterna i sin mobilapplikation under utvecklingsprocessen så att de kan interagera med Twitters API. API:et ger tredjepartsutvecklare ett sätt att bädda in Twitters funktionalitet och data i sina applikationer.
"Till exempel, om en spelapp publicerar din höga poäng på ditt Twitter-flöde direkt, drivs den av Twitter API," sa CloudSEK i en rapport om sina resultat. Men ofta misslyckas utvecklare med att ta bort autentiseringsnycklarna innan de laddar upp appen till en mobilappbutik, vilket utsätter Twitter-användare för ökad risk, sa säkerhetsleverantören.
"Att exponera en 'all access' API-nyckel är i huvudsak att ge bort nycklarna till ytterdörren", säger Scott Gerlach, medgrundare och CSO på StackHawk, en leverantör av API-säkerhetstesttjänster. "Du måste förstå hur man hanterar användaråtkomst till ett API och hur man säkert tillhandahåller åtkomst till API. Om du inte förstår det har du lagt dig långt bakom åtta bollen.”
CloudSEK identifierat flera sätt som angripare kan missbruka de exponerade API-nycklarna och token. Genom att bädda in dem i ett manus kan en motståndare potentiellt samla ihop en Twitter-botarmé för att sprida desinformation i stor skala. "Flera kontoövertaganden kan användas för att sjunga samma låt samtidigt, och upprepa budskapet som måste betalas ut," varnade forskarna. Angripare kan också använda verifierade Twitter-konton för att sprida skadlig programvara och spam och för att utföra automatiserade nätfiskeattacker.
Twitter API-problemet som CloudSEK identifierade är besläktat med tidigare rapporterade instanser av hemliga API-nycklar läcker eller exponeras av misstag, säger Yaniv Balmas, vice vd för forskning på Salt Security. "Den största skillnaden mellan det här fallet och de flesta av de tidigare är att vanligtvis när en API-nyckel lämnas exponerad är den största risken för applikationen/leverantören."
Ta AWS S3 API-nycklarna exponerade på GitHub, till exempel, säger han. "I det här fallet, men eftersom användare tillåter mobilapplikationen att använda sina egna Twitter-konton, sätter problemet dem faktiskt på samma risknivå som själva applikationen."
Sådana läckor av hemliga nycklar öppnar upp potentialen för många möjliga missbruk och attackscenarier, säger Balmas.
Ökning av mobil-/IoT-hot
CloudSEK:s rapport kommer samma vecka som en ny rapport från Verizon som visade på en ökning med 22 % jämfört med föregående år av stora cyberattacker som involverade mobila enheter och IoT-enheter. Verizons rapport, baserad på en undersökning av 632 IT- och säkerhetspersonal, hade 23 % av de tillfrågade som sa att deras organisationer har upplevt en stor mobilsäkerhetskompromiss under de senaste 12 månaderna. Undersökningen visade en hög grad av oro över mobilsäkerhetshot, särskilt inom detaljhandeln, finanssektorn, sjukvården, tillverkningsindustrin och den offentliga sektorn. Verizon tillskrev ökningen till övergången till fjärr- och hybridarbete under de senaste två åren och den resulterande explosionen i användningen av ohanterade hemnätverk och personliga enheter för att komma åt företagets tillgångar.
"Attacker på mobila enheter - inklusive riktade attacker - fortsätter att öka, liksom spridningen av mobila enheter för att komma åt företagsresurser", säger Mike Riley, senior lösningsspecialist, företagssäkerhet på Verizon Business. "Det som sticker ut är det faktum att attackerna ökar från år till år, med respondenter som uppger att svårighetsgraden har ökat i takt med ökningen av antalet mobila/IoT-enheter."
Den största påverkan för organisationer från attacker på mobila enheter var dataförlust och driftstopp, tillägger han.
Nätfiskekampanjer riktade mot mobila enheter har också ökat i höjden under de senaste två åren. Telemetri som Lookout samlade in och analyserade från över 200 miljoner enheter och 160 miljoner appar visade att 15 % av företagsanvändarna och 47 % av konsumenterna upplevde minst en mobil nätfiskeattack varje kvartal 2021 – en ökning med 9 % respektive 30 %, från föregående år.
"Vi måste titta på säkerhetstrender på mobila enheter i samband med att skydda data i molnet", säger Hank Schless, senior manager, säkerhetslösningar på Lookout. "Att säkra den mobila enheten är ett viktigt första steg, men för att helt säkra din organisation och dess data måste du kunna använda mobilrisk som en av de många signalerna som matar dina säkerhetspolicyer för åtkomst av data i molnet, on-prem , och privata appar."
