Hàng nghìn ứng dụng dành cho thiết bị di động đang làm rò rỉ các khóa API Twitter - một số trong số đó cung cấp cho kẻ thù cách truy cập hoặc chiếm đoạt tài khoản Twitter của người dùng các ứng dụng này và tập hợp một đội quân bot để phát tán thông tin sai lệch, thư rác và phần mềm độc hại thông qua nền tảng truyền thông xã hội.
Các nhà nghiên cứu từ CloudSEK có trụ sở tại Ấn Độ cho biết họ đã xác định được tổng cộng 3,207 ứng dụng di động làm rò rỉ thông tin Khóa người dùng và Khóa bí mật hợp lệ trên Twitter. Khoảng 230 ứng dụng bị phát hiện làm rò rỉ mã thông báo truy cập OAuth và bí mật truy cập.
Cùng với nhau, thông tin cung cấp cho kẻ tấn công một cách để truy cập vào tài khoản Twitter của người dùng các ứng dụng này và thực hiện nhiều hành động khác nhau. Điều này bao gồm việc đọc tin nhắn; đăng lại, thích hoặc xóa tin nhắn thay mặt người dùng; xóa người theo dõi hoặc theo dõi tài khoản mới; và đi tới cài đặt tài khoản và thực hiện những việc như thay đổi hình ảnh hiển thị, CloudSEK cho biết.
Lỗi nhà phát triển ứng dụng
Nhà cung cấp cho rằng vấn đề là do các nhà phát triển ứng dụng lưu thông tin xác thực trong ứng dụng di động của họ trong quá trình phát triển để họ có thể tương tác với API của Twitter. API cung cấp cho các nhà phát triển bên thứ ba cách nhúng chức năng và dữ liệu của Twitter vào ứng dụng của họ.
“Ví dụ: nếu một ứng dụng trò chơi đăng trực tiếp điểm số cao của bạn lên nguồn cấp dữ liệu Twitter của bạn, thì ứng dụng đó sẽ được cung cấp bởi API Twitter,” CloudSEK cho biết trong một báo cáo về những phát hiện của mình. Tuy nhiên, nhà cung cấp bảo mật cho biết thông thường, các nhà phát triển không xóa khóa xác thực trước khi tải ứng dụng lên cửa hàng ứng dụng di động, do đó khiến người dùng Twitter gặp rủi ro cao hơn.
Scott Gerlach, đồng sáng lập và CSO tại StackHawk, nhà cung cấp dịch vụ kiểm tra bảo mật API, cho biết: “Việc tiết lộ khóa API 'tất cả quyền truy cập' về cơ bản là trao chìa khóa cho cửa trước. “Bạn phải hiểu cách quản lý quyền truy cập của người dùng vào API và cách cấp quyền truy cập vào API một cách an toàn. Nếu bạn không hiểu điều đó, bạn đã tự đặt mình vào phía sau quả bóng số tám.”
CloudSEK đã xác định nhiều cách mà kẻ tấn công có thể lạm dụng các khóa API bị lộ và mã thông báo. Bằng cách nhúng chúng vào một tập lệnh, kẻ thù có thể tập hợp một đội quân bot Twitter để truyền bá thông tin sai lệch trên quy mô lớn. Các nhà nghiên cứu cảnh báo: “Việc tiếp quản nhiều tài khoản có thể được sử dụng để hát song song cùng một giai điệu, nhắc lại thông điệp cần được giải ngân”. Những kẻ tấn công cũng có thể sử dụng các tài khoản Twitter đã được xác minh để phát tán phần mềm độc hại và thư rác cũng như thực hiện các cuộc tấn công lừa đảo tự động.
Sự cố API Twitter mà CloudSEK đã xác định giống với các trường hợp khóa API bí mật được báo cáo trước đây bị rò rỉ hoặc tiếp xúc nhầm lẫnYaniv Balmas, phó chủ tịch nghiên cứu của Salt Security cho biết. “Sự khác biệt chính giữa trường hợp này và hầu hết các trường hợp trước đó là khi khóa API bị lộ, rủi ro chính sẽ thuộc về ứng dụng/nhà cung cấp.”
Lấy ví dụ như các khóa API AWS S3 được hiển thị trên GitHub, ông nói. “Tuy nhiên, trong trường hợp này, vì người dùng cho phép ứng dụng di động sử dụng tài khoản Twitter của riêng họ nên vấn đề thực sự khiến họ gặp phải mức độ rủi ro tương tự như chính ứng dụng đó.”
Balmas nói rằng những vụ rò rỉ khóa bí mật như vậy mở ra khả năng xảy ra nhiều trường hợp lạm dụng và tấn công.
Các mối đe dọa đột biến trong di động / IoT
Báo cáo của CloudSEK được đưa ra cùng tuần với một báo cáo mới từ Verizon điều đó nhấn mạnh mức tăng 22% so với cùng kỳ năm trước trong các cuộc tấn công mạng lớn liên quan đến thiết bị di động và IoT. Báo cáo của Verizon, dựa trên cuộc khảo sát với 632 chuyên gia CNTT và bảo mật, có 23% số người được hỏi cho biết tổ chức của họ đã gặp phải một sự xâm phạm lớn về bảo mật di động trong 12 tháng qua. Cuộc khảo sát cho thấy mức độ lo ngại cao về các mối đe dọa an ninh di động, đặc biệt là trong các lĩnh vực bán lẻ, tài chính, y tế, sản xuất và công cộng. Verizon cho rằng sự gia tăng chuyển sang làm việc từ xa và kết hợp trong hai năm qua và dẫn đến sự bùng nổ trong việc sử dụng mạng gia đình và thiết bị cá nhân không được quản lý để truy cập tài sản doanh nghiệp.
Mike Riley, chuyên gia giải pháp cấp cao, bảo mật doanh nghiệp tại Verizon Business, cho biết: “Các cuộc tấn công vào thiết bị di động — bao gồm cả các cuộc tấn công có mục tiêu — tiếp tục gia tăng, cũng như sự gia tăng của các thiết bị di động nhằm truy cập tài nguyên của công ty”. “Điều nổi bật là thực tế là các cuộc tấn công đang gia tăng hàng năm, với những người được hỏi nói rằng mức độ nghiêm trọng đã tăng lên cùng với sự gia tăng số lượng thiết bị di động/IoT.”
Tác động lớn nhất đối với các tổ chức từ các cuộc tấn công vào thiết bị di động là mất dữ liệu và thời gian ngừng hoạt động, ông nói thêm.
Các chiến dịch lừa đảo nhắm mục tiêu đến thiết bị di động cũng đã tăng vọt trong hai năm qua. Phép đo từ xa mà Lookout thu thập và phân tích từ hơn 200 triệu thiết bị và 160 triệu ứng dụng cho thấy 15% người dùng doanh nghiệp và 47% người tiêu dùng đã trải qua ít nhất một cuộc tấn công lừa đảo trên thiết bị di động trong mỗi quý vào năm 2021 - lần lượt tăng 9% và 30%, từ năm trước.
Hank Schless, quản lý cấp cao, giải pháp bảo mật tại Lookout, cho biết: “Chúng ta cần xem xét các xu hướng bảo mật trên thiết bị di động trong bối cảnh bảo vệ dữ liệu trên đám mây”. “Bảo mật thiết bị di động là bước quan trọng đầu tiên, nhưng để bảo mật hoàn toàn tổ chức và dữ liệu của tổ chức, bạn cần có khả năng sử dụng rủi ro di động như một trong nhiều tín hiệu cung cấp chính sách bảo mật của bạn để truy cập dữ liệu trên đám mây, tại chỗ. và các ứng dụng riêng tư.”
