ہزاروں موبائل ایپس ٹویٹر API کیز کو لیک کر رہی ہیں - جن میں سے کچھ مخالفین کو ان ایپلی کیشنز کے صارفین کے ٹویٹر اکاؤنٹس تک رسائی حاصل کرنے یا ان پر قبضہ کرنے کا راستہ فراہم کرتی ہیں اور سوشل میڈیا پلیٹ فارم کے ذریعے غلط معلومات، سپیم اور میلویئر پھیلانے کے لیے بوٹ آرمی کو جمع کرتی ہیں۔
ہندوستان میں مقیم CloudSEK کے محققین نے کہا کہ انہوں نے کل 3,207 موبائل ایپلی کیشنز کی نشاندہی کی ہے جو درست ٹویٹر کنزیومر کی اور خفیہ کلیدی معلومات کو لیک کر رہی ہیں۔ تقریباً 230 ایپلی کیشنز کو OAuth تک رسائی کے ٹوکنز اور رسائی کے راز کو بھی لیک کرتے ہوئے پایا گیا۔
ایک ساتھ، معلومات حملہ آوروں کو ان ایپلی کیشنز کے صارفین کے ٹویٹر اکاؤنٹس تک رسائی حاصل کرنے اور مختلف کارروائیوں کو انجام دینے کا ایک طریقہ فراہم کرتی ہیں۔ اس میں پڑھنا پیغامات شامل ہیں۔ صارف کی جانب سے پیغامات کو ریٹویٹ کرنا، پسند کرنا، یا حذف کرنا؛ پیروکاروں کو ہٹانا یا نئے اکاؤنٹس کی پیروی کرنا؛ اور اکاؤنٹ کی ترتیبات پر جا کر ڈسپلے پکچر کو تبدیل کرنے جیسی چیزیں کرنا، CloudSEK نے کہا۔
ایپلیکیشن ڈویلپر کی خرابی۔
وینڈر نے اس مسئلے کو ایپلیکیشن ڈویلپرز سے منسوب کیا جو ڈیولپمنٹ کے عمل کے دوران اپنے موبائل ایپلیکیشن میں تصدیقی اسناد کو محفوظ کر رہے ہیں تاکہ وہ ٹوئٹر کے API کے ساتھ بات چیت کر سکیں۔ API تیسرے فریق کے ڈویلپرز کو ٹویٹر کی فعالیت اور ڈیٹا کو ان کی ایپلی کیشنز میں شامل کرنے کا ایک طریقہ فراہم کرتا ہے۔
"مثال کے طور پر، اگر کوئی گیمنگ ایپ آپ کے ٹویٹر فیڈ پر آپ کے اعلی اسکور کو براہ راست پوسٹ کرتی ہے، تو یہ ٹویٹر API کے ذریعہ تقویت یافتہ ہے،" CloudSEK نے اپنے نتائج پر ایک رپورٹ میں کہا۔ سیکیورٹی وینڈر نے کہا کہ اکثر، اگرچہ، ڈویلپرز موبائل ایپ اسٹور پر ایپ اپ لوڈ کرنے سے پہلے توثیق کی کلیدوں کو ہٹانے میں ناکام رہتے ہیں، اس طرح ٹویٹر کے صارفین کو زیادہ خطرہ لاحق ہوتا ہے۔
API سیکیورٹی ٹیسٹنگ سروسز فراہم کرنے والے StackHawk کے شریک بانی اور CSO، Scott Gerlach کہتے ہیں، "ایک 'تمام رسائی' API کلید کو سامنے لانا بنیادی طور پر سامنے والے دروازے کی چابیاں دینا ہے۔ "آپ کو یہ سمجھنا ہوگا کہ API تک صارف کی رسائی کا انتظام کیسے کیا جائے اور API تک رسائی کو محفوظ طریقے سے کیسے فراہم کیا جائے۔ اگر آپ اسے نہیں سمجھتے تو آپ نے خود کو آٹھ گیندوں کے پیچھے ڈال دیا ہے۔
CloudSEK کی شناخت ہو گئی۔ متعدد طریقے جن سے حملہ آور بے نقاب API کیز کا غلط استعمال کر سکتے ہیں۔ اور ٹوکن. انہیں اسکرپٹ میں سرایت کرنے سے، ایک مخالف ممکنہ طور پر ٹویٹر بوٹ آرمی کو جمع کر سکتا ہے تاکہ بڑے پیمانے پر غلط معلومات پھیلائیں۔ محققین نے متنبہ کیا کہ "متعدد اکاؤنٹ ٹیک اوورز کو ایک ہی دھن کے ساتھ مل کر گانے کے لیے استعمال کیا جا سکتا ہے، اس پیغام کا اعادہ کیا جا سکتا ہے جسے تقسیم کرنے کی ضرورت ہے۔" حملہ آور میلویئر اور سپیم پھیلانے اور خودکار فشنگ حملوں کو انجام دینے کے لیے تصدیق شدہ ٹویٹر اکاؤنٹس کا بھی استعمال کر سکتے ہیں۔
ٹویٹر API کا مسئلہ جس کی CloudSEK نے نشاندہی کی ہے وہ خفیہ API کیز کی پہلے رپورٹ کردہ مثالوں کے مترادف ہے۔ غلطی سے لیک یا بے نقاب ہوناسالٹ سیکیورٹی میں ریسرچ کے نائب صدر یانیو بالماس کہتے ہیں۔ "اس کیس اور زیادہ تر پچھلے کیسوں کے درمیان بنیادی فرق یہ ہے کہ عام طور پر جب ایک API کلید کو بے نقاب چھوڑ دیا جاتا ہے، تو سب سے بڑا خطرہ ایپلیکیشن/وینڈر کو ہوتا ہے۔"
مثال کے طور پر، وہ کہتے ہیں کہ GitHub پر سامنے آنے والی AWS S3 API کیز کو لیں۔ "اس معاملے میں، تاہم، چونکہ صارفین موبائل ایپلیکیشن کو اپنے ٹویٹر اکاؤنٹس استعمال کرنے کی اجازت دیتے ہیں، اس لیے یہ مسئلہ درحقیقت انہیں اسی خطرے کی سطح پر رکھتا ہے جیسا کہ خود ایپلیکیشن۔"
بالماس کا کہنا ہے کہ خفیہ چابیاں کے اس طرح کے لیک ہونے سے متعدد ممکنہ بدسلوکی اور حملے کے منظر نامے کھل جاتے ہیں۔
موبائل/آئی او ٹی کے خطرات میں اضافہ
CloudSEK کی رپورٹ اسی ہفتے آتی ہے۔ ویریزون کی ایک نئی رپورٹ جس نے موبائل اور IoT آلات پر مشتمل بڑے سائبر حملوں میں سال بہ سال 22 فیصد اضافہ کو نمایاں کیا۔ ویریزون کی رپورٹ، 632 آئی ٹی اور سیکیورٹی پروفیشنلز کے سروے پر مبنی، جواب دہندگان میں سے 23 فیصد نے کہا کہ ان کی تنظیموں نے گزشتہ 12 مہینوں میں موبائل سیکیورٹی کے بڑے سمجھوتے کا تجربہ کیا ہے۔ سروے نے خاص طور پر ریٹیل، مالیاتی، صحت کی دیکھ بھال، مینوفیکچرنگ اور عوامی شعبوں میں موبائل سیکورٹی کے خطرات پر اعلیٰ سطح پر تشویش ظاہر کی۔ ویریزون نے پچھلے دو سالوں میں دور دراز اور ہائبرڈ کام کی طرف شفٹ ہونے اور انٹرپرائز اثاثوں تک رسائی کے لیے غیر منظم گھریلو نیٹ ورکس اور ذاتی آلات کے استعمال میں ہونے والے دھماکے کے نتیجے میں ہونے والے اضافے کو قرار دیا۔
ویریزون بزنس میں انٹرپرائز سیکیورٹی کے سینئر حل کے ماہر، مائیک ریلی کہتے ہیں، "موبائل ڈیوائسز پر حملے — بشمول ٹارگٹڈ حملے — بڑھتے رہتے ہیں، جیسا کہ کارپوریٹ وسائل تک رسائی کے لیے موبائل ڈیوائسز کا پھیلاؤ ہوتا ہے۔" "جو بات نمایاں ہے وہ یہ ہے کہ حملے سال بہ سال بڑھ رہے ہیں، جواب دہندگان نے بتایا کہ موبائل/IoT آلات کی تعداد میں اضافے کے ساتھ ساتھ اس کی شدت میں اضافہ ہوا ہے۔"
انہوں نے مزید کہا کہ موبائل آلات پر حملوں سے تنظیموں کے لیے سب سے بڑا اثر ڈیٹا کا ضائع ہونا اور ڈاؤن ٹائم تھا۔
پچھلے دو سالوں میں موبائل آلات کو نشانہ بنانے والی فشنگ مہمات میں بھی اضافہ ہوا ہے۔ ٹیلی میٹری جسے Lookout نے 200 ملین سے زیادہ آلات اور 160 ملین ایپس سے اکٹھا کیا اور تجزیہ کیا اس سے پتہ چلتا ہے کہ 15% انٹرپرائز صارفین اور 47% صارفین نے 2021 میں ہر سہ ماہی میں کم از کم ایک موبائل فشنگ حملے کا تجربہ کیا — بالترتیب 9% اور 30% اضافہ، پچھلے سال سے.
"ہمیں کلاؤڈ میں ڈیٹا کی حفاظت کے تناظر میں موبائل پر سیکورٹی کے رجحانات کو دیکھنے کی ضرورت ہے،" Hank Schless، سینئر مینیجر، سیکورٹی سلوشنز کا کہنا ہے۔ "موبائل ڈیوائس کو محفوظ بنانا ایک اہم پہلا قدم ہے، لیکن اپنی تنظیم اور اس کے ڈیٹا کو مکمل طور پر محفوظ کرنے کے لیے، آپ کو موبائل رسک کو استعمال کرنے کے قابل ہونے کی ضرورت ہے جو کہ بہت سے سگنلز میں سے ایک ہے جو کلاؤڈ میں ڈیٹا تک رسائی کے لیے آپ کی سیکیورٹی پالیسیوں کو فیڈ کرتا ہے۔ اور نجی ایپس۔"
