ΑρχικήSecurityΠάνω από 3.200 εφαρμογές διαρρέουν κλειδιά API του Twitter

Πάνω από 3.200 εφαρμογές διαρρέουν κλειδιά API του Twitter

Ερευνητές κυβερνοασφάλειας ανακάλυψαν 3.207 εφαρμογές για κινητά, οι οποίες εκθέτουν κλειδιά API του Twitter στο κοινό, επιτρέποντας δυνητικά σε έναν hacker να πάρει τον έλεγχο των λογαριασμών Twitter των χρηστών που σχετίζονται με την εφαρμογή.

Δείτε επίσης: Twitter: Χάκερ πουλά δεδομένα 5,4 εκατ. χρηστών για 30 χιλιάδες δολάρια
εφαρμογές

Η εταιρεία κυβερνοασφάλειας CloudSEK, η οποία εξέτασε μεγάλα σύνολα εφαρμoγών για πιθανές διαρροές δεδομένων, ανακάλυψε 3.207 εφαρμογές που διέρρευσαν ένα έγκυρο κλειδί καταναλωτή και ένα API του Twitter.

Κατά την ενσωμάτωση εφαρμογών για κινητά στο Twitter, οι προγραμματιστές λαμβάνουν ειδικά κλειδιά ελέγχου ταυτότητας ή διακριτικά, που επιτρέπουν στις εφαρμογές τους για κινητά να αλληλεπιδρούν με το API του Twitter. Όταν ένας χρήστης συσχετίζει τον λογαριασμό του Twitter με αυτήν την εφαρμογή για κινητά, τα πλήκτρα θα επιτρέψουν επίσης στην εφαρμογή να ενεργεί για λογαριασμό του χρήστη, όπως η σύνδεσή του μέσω Twitter, η δημιουργία tweet, η αποστολή DM κ.λπ.

Καθώς η πρόσβαση σε αυτά τα κλειδιά ελέγχου ταυτότητας θα μπορούσε να επιτρέψει σε οποιονδήποτε να εκτελεί ενέργειες, δεν συνιστάται ποτέ η αποθήκευση κλειδιών απευθείας σε μια εφαρμογή για κινητά όπου μπορούν να τα βρουν οι φορείς απειλών.

#secnews #comet 

Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι. Καθ' όλη τη διάρκεια του πρώτου μισού του Οκτωβρίου, ένας εξαιρετικά φωτεινός κομήτης, γνωστός ως Tsuchinshan-ATLAS, θα είναι ορατός με γυμνό μάτι σε μέρη του ουρανού αργά τη νύχτα και νωρίς το πρωί. Ωστόσο, ένας ακόμα κομήτης που ανακαλύφθηκε πιο πρόσφατα, μπορεί επίσης να είναι ορατός και είναι γνωστός ως C/2024 S1. Οι αστρονόμοι μόλις ανακάλυψαν έναν δεύτερο κομήτη, τον C/2024 S1 (ATLAS), ο οποίος θα κάνει επίσης την πλησιέστερη προσέγγισή του στον πλανήτη μας αυτόν τον μήνα και ενδεχομένως να είναι ορατός χωρίς τηλεσκόπιο.

00:00 Εισαγωγή
00:34 Νέος κομήτης
01:09 Λίγες πληροφορίες
01:29 Πλησιέστερη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/624490/komitis-c-2024-s1-mporouse-einai-oratos-gimno-mati/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #comet

Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι. Καθ' όλη τη διάρκεια του πρώτου μισού του Οκτωβρίου, ένας εξαιρετικά φωτεινός κομήτης, γνωστός ως Tsuchinshan-ATLAS, θα είναι ορατός με γυμνό μάτι σε μέρη του ουρανού αργά τη νύχτα και νωρίς το πρωί. Ωστόσο, ένας ακόμα κομήτης που ανακαλύφθηκε πιο πρόσφατα, μπορεί επίσης να είναι ορατός και είναι γνωστός ως C/2024 S1. Οι αστρονόμοι μόλις ανακάλυψαν έναν δεύτερο κομήτη, τον C/2024 S1 (ATLAS), ο οποίος θα κάνει επίσης την πλησιέστερη προσέγγισή του στον πλανήτη μας αυτόν τον μήνα και ενδεχομένως να είναι ορατός χωρίς τηλεσκόπιο.

00:00 Εισαγωγή
00:34 Νέος κομήτης
01:09 Λίγες πληροφορίες
01:29 Πλησιέστερη προσέγγιση

Μάθετε περισσότερα: https://www.secnews.gr/624490/komitis-c-2024-s1-mporouse-einai-oratos-gimno-mati/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LmN1MVA2VDBYcVJJ

Ο κομήτης C/2024 S1 μπορεί να είναι ορατός με γυμνό μάτι

SecNewsTV 22 hours ago

Σύμφωνα με την CloudSEK, η διαρροή κλειδιών API είναι συνήθως αποτέλεσμα λαθών από προγραμματιστές εφαρμογών που ενσωματώνουν τα κλειδιά ελέγχου ταυτότητας στο Twitter API αλλά ξεχνούν να τα αφαιρέσουν όταν κυκλοφορήσει το κινητό.

Δείτε ακόμα: Το Twitter καλωσορίζει περισσότερους χρήστες αλλά τα έσοδα δεν αυξάνονται

Σε αυτές τις περιπτώσεις, τα διαπιστευτήρια αποθηκεύονται σε εφαρμογές για κινητές συσκευές στις ακόλουθες τοποθεσίες:

  • Read someone’s direct messages
  • Perform retweets and likes
  • Create or delete tweets
  • Remove or add new followers
  • Access account settings
  • Change display picture
API Twitter

Ένα από τα πιο εμφανή σενάρια κατάχρησης αυτής της πρόσβασης, σύμφωνα με την CloudSEK, θα ήταν ένας παράγοντας απειλής να χρησιμοποιήσει αυτά τα εκτεθειμένα διακριτικά για να δημιουργήσει έναν στρατό στο Twitter από επαληθευμένους λογαριασμούς με μεγάλο αριθμό ακολούθων για την προώθηση ψεύτικων ειδήσεων, καμπανιών κακόβουλου λογισμικού, απατών με κρυπτονομίσματα κ.λπ.

Όπως αναφέρθηκε και παραπάνω, η διαρροή κλειδιών API είναι συνήθως αποτέλεσμα λαθών από προγραμματιστές εφαρμoγών που ενσωματώνουν τα κλειδιά ελέγχου ταυτότητας στο API του Twitter, αλλά ξεχνούν να τα αφαιρέσουν όταν κυκλοφορήσει το κινητό.

Σε αυτές τις περιπτώσεις, τα διαπιστευτήρια αποθηκεύονται σε εφαρμογές για κινητές συσκευές στις ακόλουθες τοποθεσίες:

  • resources/res/values/strings.xml
  • source/resources/res/values-es-rAR/strings.xml
  • source/resources/res/values-es-rCO/strings.xml
  • source/sources/com/app-name/BuildConfig.java

Δείτε επίσης: Διακοπή Twitter: Μήνυμα σφάλματος δηλώνει ότι “Κάτι πήγε στραβά”

Η CloudSEK συνιστά στους προγραμματιστές να χρησιμοποιούν την περιστροφή κλειδιού API για την προστασία των κλειδιών ελέγχου ταυτότητας, κάτι που θα ακυρώσει τα εκτεθειμένα κλειδιά μετά από μερικούς μήνες.

Εφαρμογές που έχουν μεταξύ 50.000 και 5.000.000 λήψεις, συμπεριλαμβανομένων συνοδών μεταφοράς πόλης, ραδιοφωνικούς δέκτες, αναγνώστες βιβλίων, καταγραφείς εκδηλώσεων, εφημερίδες, εφαρμογές ηλεκτρονικής τραπεζικής, εφαρμογές GPS για ποδήλατο και άλλες, έχουν επηρεαστεί.

Absenta Mia
Absenta Miahttps://www.secnews.gr
Being your self, in a world that constantly tries to change you, is your greater achievement
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS