数以千计的移动应用程序正在泄露 Twitter API 密钥——其中一些为攻击者提供了访问或接管这些应用程序用户的 Twitter 帐户的途径,并组建了一支机器人军队,通过社交媒体平台传播虚假信息、垃圾邮件和恶意软件。
来自印度 CloudSEK 的研究人员表示,他们已经确定共有 3,207 个移动应用程序泄露了有效的 Twitter 消费者密钥和密钥信息。 大约 230 个应用程序被发现泄露了 OAuth 访问令牌和访问机密。
这些信息共同为攻击者提供了一种访问这些应用程序用户的 Twitter 帐户并执行各种操作的方法。 这包括阅读信息; 代表用户转发、点赞或删除消息; 删除关注者或关注新帐户; CloudSEK 说,然后去账户设置和做一些事情,比如改变显示图片。
应用程序开发人员错误
该供应商将此问题归咎于应用程序开发人员在开发过程中将身份验证凭据保存在他们的移动应用程序中,以便他们可以与 Twitter 的 API 进行交互。 该 API 为第三方开发人员提供了一种将 Twitter 的功能和数据嵌入到他们的应用程序中的方法。
“例如,如果一个游戏应用程序直接在你的 Twitter 提要上发布你的高分,它是由 Twitter API 提供支持的,”CloudSEK 在一份关于其调查结果的报告中说。 不过,安全供应商表示,开发人员通常无法在将应用程序上传到移动应用程序商店之前删除身份验证密钥,从而使 Twitter 用户面临更大的风险。
API 安全测试服务提供商 StackHawk 的联合创始人兼首席安全官 Scott Gerlach 说:“公开一个‘所有访问权限’API 密钥实质上就是将密钥泄露给前门。” “您必须了解如何管理用户对 API 的访问以及如何安全地提供对 API 的访问。 如果你不明白这一点,你就已经把自己放在了八号球的后面。”
CloudSEK 确定 攻击者可以通过多种方式滥用暴露的 API 密钥 和令牌。 通过将它们嵌入到脚本中,对手可能会组建一支 Twitter 机器人军队来大规模传播虚假信息。 研究人员警告说:“可以使用多个帐户接管来串联唱同一首曲子,重申需要传达的信息。” 攻击者还可以使用经过验证的 Twitter 帐户来传播恶意软件和垃圾邮件,并进行自动网络钓鱼攻击。
CloudSEK 发现的 Twitter API 问题类似于之前报告的秘密 API 密钥实例 被错误地泄露或暴露,Salt Security 研究副总裁 Yaniv Balmas 说。 “这个案例与之前大多数案例的主要区别在于,通常当 API 密钥暴露时,主要风险在于应用程序/供应商。”
他说,以 GitHub 上公开的 AWS S3 API 密钥为例。 “然而,在这种情况下,由于用户允许移动应用程序使用他们自己的 Twitter 账户,这个问题实际上将他们置于与应用程序本身相同的风险级别。”
Balmas 说,此类密钥泄露为许多可能的滥用和攻击场景开辟了可能性。
移动/物联网威胁激增
CloudSEK 的报告发布于同一周 来自 Verizon 的新报告 这突显出涉及移动和物联网设备的主要网络攻击同比增长 22%。 Verizon 的报告基于对 632 名 IT 和安全专业人员的调查,有 23% 的受访者表示,他们的组织在过去 12 个月中经历了重大的移动安全威胁。 调查显示,人们高度关注移动安全威胁,尤其是在零售、金融、医疗保健、制造和公共部门。 Verizon 将这一增长归因于过去两年向远程和混合工作的转变,以及由此导致使用非托管家庭网络和个人设备访问企业资产的激增。
Verizon Business 企业安全高级解决方案专家 Mike Riley 表示:“针对移动设备的攻击(包括有针对性的攻击)继续增加,访问企业资源的移动设备的激增也是如此。” “引人注目的是攻击逐年增加,受访者表示随着移动/物联网设备数量的增加,攻击的严重性也在增加。”
他补充说,对移动设备的攻击对组织的最大影响是数据丢失和停机。
在过去两年中,针对移动设备的网络钓鱼活动也猛增。 Lookout 从超过 200 亿台设备和 160 亿个应用程序中收集和分析的遥测数据显示,15 年每个季度有 47% 的企业用户和 2021% 的消费者经历了至少一次移动网络钓鱼攻击——分别增加了 9% 和 30%,从上一年开始。
Lookout 安全解决方案高级经理 Hank Schless 表示:“我们需要在保护云中数据的背景下研究移动设备的安全趋势。” “保护移动设备是重要的第一步,但要完全保护您的组织及其数据,您需要能够将移动风险作为众多信号之一,为您在云端、本地访问数据提供安全策略和私人应用程序。”