ΑρχικήsecurityΠάνω από 3.200 εφαρμογές διαρρέουν κλειδιά API του Twitter

Πάνω από 3.200 εφαρμογές διαρρέουν κλειδιά API του Twitter

Ερευνητές κυβερνοασφάλειας ανακάλυψαν 3.207 εφαρμογές για κινητά, οι οποίες εκθέτουν κλειδιά API του Twitter στο κοινό, επιτρέποντας δυνητικά σε έναν hacker να πάρει τον έλεγχο των λογαριασμών Twitter των χρηστών που σχετίζονται με την εφαρμογή.

Δείτε επίσης: Twitter: Χάκερ πουλά δεδομένα 5,4 εκατ. χρηστών για 30 χιλιάδες δολάρια
εφαρμογές

Η εταιρεία κυβερνοασφάλειας CloudSEK, η οποία εξέτασε μεγάλα σύνολα εφαρμoγών για πιθανές διαρροές δεδομένων, ανακάλυψε 3.207 εφαρμογές που διέρρευσαν ένα έγκυρο κλειδί καταναλωτή και ένα API του Twitter.

Κατά την ενσωμάτωση εφαρμογών για κινητά στο Twitter, οι προγραμματιστές λαμβάνουν ειδικά κλειδιά ελέγχου ταυτότητας ή διακριτικά, που επιτρέπουν στις εφαρμογές τους για κινητά να αλληλεπιδρούν με το API του Twitter. Όταν ένας χρήστης συσχετίζει τον λογαριασμό του Twitter με αυτήν την εφαρμογή για κινητά, τα πλήκτρα θα επιτρέψουν επίσης στην εφαρμογή να ενεργεί για λογαριασμό του χρήστη, όπως η σύνδεσή του μέσω Twitter, η δημιουργία tweet, η αποστολή DM κ.λπ.

Καθώς η πρόσβαση σε αυτά τα κλειδιά ελέγχου ταυτότητας θα μπορούσε να επιτρέψει σε οποιονδήποτε να εκτελεί ενέργειες, δεν συνιστάται ποτέ η αποθήκευση κλειδιών απευθείας σε μια εφαρμογή για κινητά όπου μπορούν να τα βρουν οι φορείς απειλών.

Σύμφωνα με την CloudSEK, η διαρροή κλειδιών API είναι συνήθως αποτέλεσμα λαθών από προγραμματιστές εφαρμογών που ενσωματώνουν τα κλειδιά ελέγχου ταυτότητας στο Twitter API αλλά ξεχνούν να τα αφαιρέσουν όταν κυκλοφορήσει το κινητό.

Δείτε ακόμα: Το Twitter καλωσορίζει περισσότερους χρήστες αλλά τα έσοδα δεν αυξάνονται

Σε αυτές τις περιπτώσεις, τα διαπιστευτήρια αποθηκεύονται σε εφαρμογές για κινητές συσκευές στις ακόλουθες τοποθεσίες:

  • Read someone’s direct messages
  • Perform retweets and likes
  • Create or delete tweets
  • Remove or add new followers
  • Access account settings
  • Change display picture
API Twitter

Ένα από τα πιο εμφανή σενάρια κατάχρησης αυτής της πρόσβασης, σύμφωνα με την CloudSEK, θα ήταν ένας παράγοντας απειλής να χρησιμοποιήσει αυτά τα εκτεθειμένα διακριτικά για να δημιουργήσει έναν στρατό στο Twitter από επαληθευμένους λογαριασμούς με μεγάλο αριθμό ακολούθων για την προώθηση ψεύτικων ειδήσεων, καμπανιών κακόβουλου λογισμικού, απατών με κρυπτονομίσματα κ.λπ.

Όπως αναφέρθηκε και παραπάνω, η διαρροή κλειδιών API είναι συνήθως αποτέλεσμα λαθών από προγραμματιστές εφαρμoγών που ενσωματώνουν τα κλειδιά ελέγχου ταυτότητας στο API του Twitter, αλλά ξεχνούν να τα αφαιρέσουν όταν κυκλοφορήσει το κινητό.

Σε αυτές τις περιπτώσεις, τα διαπιστευτήρια αποθηκεύονται σε εφαρμογές για κινητές συσκευές στις ακόλουθες τοποθεσίες:

  • resources/res/values/strings.xml
  • source/resources/res/values-es-rAR/strings.xml
  • source/resources/res/values-es-rCO/strings.xml
  • source/sources/com/app-name/BuildConfig.java

Δείτε επίσης: Διακοπή Twitter: Μήνυμα σφάλματος δηλώνει ότι “Κάτι πήγε στραβά”

Η CloudSEK συνιστά στους προγραμματιστές να χρησιμοποιούν την περιστροφή κλειδιού API για την προστασία των κλειδιών ελέγχου ταυτότητας, κάτι που θα ακυρώσει τα εκτεθειμένα κλειδιά μετά από μερικούς μήνες.

Εφαρμογές που έχουν μεταξύ 50.000 και 5.000.000 λήψεις, συμπεριλαμβανομένων συνοδών μεταφοράς πόλης, ραδιοφωνικούς δέκτες, αναγνώστες βιβλίων, καταγραφείς εκδηλώσεων, εφημερίδες, εφαρμογές ηλεκτρονικής τραπεζικής, εφαρμογές GPS για ποδήλατο και άλλες, έχουν επηρεαστεί.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS