Тисячі мобільних додатків розкривають ключі API Twitter — деякі з них дають зловмисникам можливість отримати доступ або заволодіти обліковими записами Twitter користувачів цих додатків і зібрати армію ботів для поширення дезінформації, спаму та шкідливого програмного забезпечення через платформу соціальних мереж.
Дослідники з індійської компанії CloudSEK заявили, що виявили загалом 3,207 мобільних додатків, які витокували дійсну інформацію про ключ споживача та секретний ключ Twitter. Було виявлено, що близько 230 додатків витікають з маркерів доступу OAuth і секретів доступу.
Разом ця інформація дає зловмисникам можливість отримати доступ до облікових записів Twitter користувачів цих додатків і виконати різноманітні дії. Це включає читання повідомлень; ретвіт, лайк або видалення повідомлень від імені користувача; видалення підписників або підписка на нові акаунти; і переходити до налаштувань облікового запису та виконувати такі дії, як зміна зображення на дисплеї, сказав CloudSEK.
Помилка розробника програми
Постачальник пояснив проблему тим, що розробники додатків зберігали облікові дані для автентифікації в своєму мобільному додатку під час процесу розробки, щоб вони могли взаємодіяти з API Twitter. API дає можливість стороннім розробникам вбудовувати функції та дані Twitter у свої програми.
«Наприклад, якщо ігрова програма публікує ваш рекорд безпосередньо у вашій стрічці Twitter, вона працює на основі API Twitter», — йдеться у звіті CloudSEK про свої висновки. Однак часто розробники не видаляють ключі автентифікації перед завантаженням програми в магазин мобільних додатків, тим самим наражаючи користувачів Twitter на підвищений ризик, сказав постачальник засобів безпеки.
«Оприлюднення ключа API «повного доступу» означає, по суті, роздачу ключів від вхідних дверей», — каже Скотт Герлах, співзасновник і CSO StackHawk, постачальника послуг тестування безпеки API. «Ви повинні розуміти, як керувати доступом користувачів до API і як безпечно надати доступ до API. Якщо ви цього не розумієте, ви поставили себе далеко позаду вісімки».
CloudSEK ідентифіковано кілька способів, за допомогою яких зловмисники можуть зловживати розкритими ключами API і жетон. Вставивши їх у сценарій, супротивник потенційно може зібрати армію ботів Twitter для масового поширення дезінформації. «Захоплення кількох облікових записів можна використовувати, щоб співати ту саму мелодію в тандемі, повторюючи повідомлення, яке потрібно виплатити», — попередили дослідники. Зловмисники також можуть використовувати перевірені облікові записи Twitter для розповсюдження зловмисного програмного забезпечення та спаму та здійснення автоматичних фішингових атак.
Проблема Twitter API, яку виявив CloudSEK, схожа на раніше зареєстровані випадки секретних ключів API помилково витоку або розкриття, – розповідає Янів Балмас, віце-президент із досліджень Salt Security. «Основна відмінність між цим випадком і більшістю попередніх полягає в тому, що зазвичай, коли ключ API залишається відкритим, основний ризик становить програма/постачальник».
Візьмемо, наприклад, ключі API AWS S3, представлені на GitHub, каже він. «Однак у цьому випадку, оскільки користувачі дозволяють мобільному додатку використовувати свої власні облікові записи Twitter, проблема фактично ставить їх під той самий рівень ризику, що й сам додаток».
Такі витоки секретних ключів відкривають потенціал для численних можливих зловживань і сценаріїв атак, каже Балмас.
Сплеск загроз для мобільних пристроїв/Інтернету речей
Звіт CloudSEK виходить того ж тижня новий звіт від Verizon це підкреслило збільшення на 22% порівняно з минулим роком великих кібератак із залученням мобільних пристроїв та пристроїв Інтернету речей. У звіті Verizon, заснованому на опитуванні 632 фахівців з ІТ та безпеки, 23% респондентів заявили, що їхні організації зазнали значного компрометації мобільної безпеки за останні 12 місяців. Опитування показало високий рівень занепокоєння щодо загроз мобільній безпеці, особливо в роздрібній торгівлі, фінансах, охороні здоров’я, виробництві та державному секторах. Verizon пояснює це зростання переходом до віддаленої та гібридної роботи за останні два роки та викликаним цим вибухом використання некерованих домашніх мереж і персональних пристроїв для доступу до активів підприємства.
«Атаки на мобільні пристрої, включаючи цілеспрямовані атаки, продовжують збільшуватися, як і поширення мобільних пристроїв для доступу до корпоративних ресурсів», — говорить Майк Райлі, старший фахівець із корпоративних рішень Verizon Business. «Що виділяється, так це той факт, що кількість атак зростає з року в рік, причому респонденти стверджують, що їх серйозність зросла разом зі збільшенням кількості мобільних пристроїв/пристроїв Інтернету речей».
Найбільший вплив на організації від атак на мобільні пристрої мала втрата даних і простої, додає він.
Фішингові кампанії, націлені на мобільні пристрої, також різко зросли за останні два роки. Дані телеметрії, які Lookout зібрав і проаналізував з понад 200 мільйонів пристроїв і 160 мільйонів програм, показали, що 15% корпоративних користувачів і 47% споживачів зазнавали принаймні однієї мобільної фішингової атаки в кожному кварталі в 2021 році — збільшення на 9% і 30% відповідно. з попереднього року.
«Нам потрібно дивитися на тенденції безпеки на мобільних пристроях у контексті захисту даних у хмарі», — говорить Хенк Шлесс, старший менеджер із рішень безпеки в Lookout. «Захист мобільного пристрою є важливим першим кроком, але щоб повністю захистити свою організацію та її дані, ви повинні мати можливість використовувати мобільні ризики як один із багатьох сигналів, які живлять ваші політики безпеки для доступу до даних у хмарі, локально. і приватні програми».
