Ερευνητές κυβερνοασφάλειας ανακάλυψαν 3.207 εφαρμογές για κινητά, οι οποίες εκθέτουν κλειδιά API του Twitter στο κοινό, επιτρέποντας δυνητικά σε έναν hacker να πάρει τον έλεγχο των λογαριασμών Twitter των χρηστών που σχετίζονται με την εφαρμογή.
Δείτε επίσης: Twitter: Χάκερ πουλά δεδομένα 5,4 εκατ. χρηστών για 30 χιλιάδες δολάρια
Η εταιρεία κυβερνοασφάλειας CloudSEK, η οποία εξέτασε μεγάλα σύνολα εφαρμoγών για πιθανές διαρροές δεδομένων, ανακάλυψε 3.207 εφαρμογές που διέρρευσαν ένα έγκυρο κλειδί καταναλωτή και ένα API του Twitter.
Κατά την ενσωμάτωση εφαρμογών για κινητά στο Twitter, οι προγραμματιστές λαμβάνουν ειδικά κλειδιά ελέγχου ταυτότητας ή διακριτικά, που επιτρέπουν στις εφαρμογές τους για κινητά να αλληλεπιδρούν με το API του Twitter. Όταν ένας χρήστης συσχετίζει τον λογαριασμό του Twitter με αυτήν την εφαρμογή για κινητά, τα πλήκτρα θα επιτρέψουν επίσης στην εφαρμογή να ενεργεί για λογαριασμό του χρήστη, όπως η σύνδεσή του μέσω Twitter, η δημιουργία tweet, η αποστολή DM κ.λπ.
Καθώς η πρόσβαση σε αυτά τα κλειδιά ελέγχου ταυτότητας θα μπορούσε να επιτρέψει σε οποιονδήποτε να εκτελεί ενέργειες, δεν συνιστάται ποτέ η αποθήκευση κλειδιών απευθείας σε μια εφαρμογή για κινητά όπου μπορούν να τα βρουν οι φορείς απειλών.
Σύμφωνα με την CloudSEK, η διαρροή κλειδιών API είναι συνήθως αποτέλεσμα λαθών από προγραμματιστές εφαρμογών που ενσωματώνουν τα κλειδιά ελέγχου ταυτότητας στο Twitter API αλλά ξεχνούν να τα αφαιρέσουν όταν κυκλοφορήσει το κινητό.
Δείτε ακόμα: Το Twitter καλωσορίζει περισσότερους χρήστες αλλά τα έσοδα δεν αυξάνονται
Σε αυτές τις περιπτώσεις, τα διαπιστευτήρια αποθηκεύονται σε εφαρμογές για κινητές συσκευές στις ακόλουθες τοποθεσίες:
- Read someone’s direct messages
- Perform retweets and likes
- Create or delete tweets
- Remove or add new followers
- Access account settings
- Change display picture
Ένα από τα πιο εμφανή σενάρια κατάχρησης αυτής της πρόσβασης, σύμφωνα με την CloudSEK, θα ήταν ένας παράγοντας απειλής να χρησιμοποιήσει αυτά τα εκτεθειμένα διακριτικά για να δημιουργήσει έναν στρατό στο Twitter από επαληθευμένους λογαριασμούς με μεγάλο αριθμό ακολούθων για την προώθηση ψεύτικων ειδήσεων, καμπανιών κακόβουλου λογισμικού, απατών με κρυπτονομίσματα κ.λπ.
Όπως αναφέρθηκε και παραπάνω, η διαρροή κλειδιών API είναι συνήθως αποτέλεσμα λαθών από προγραμματιστές εφαρμoγών που ενσωματώνουν τα κλειδιά ελέγχου ταυτότητας στο API του Twitter, αλλά ξεχνούν να τα αφαιρέσουν όταν κυκλοφορήσει το κινητό.
Σε αυτές τις περιπτώσεις, τα διαπιστευτήρια αποθηκεύονται σε εφαρμογές για κινητές συσκευές στις ακόλουθες τοποθεσίες:
- resources/res/values/strings.xml
- source/resources/res/values-es-rAR/strings.xml
- source/resources/res/values-es-rCO/strings.xml
- source/sources/com/app-name/BuildConfig.java
Δείτε επίσης: Διακοπή Twitter: Μήνυμα σφάλματος δηλώνει ότι “Κάτι πήγε στραβά”
Η CloudSEK συνιστά στους προγραμματιστές να χρησιμοποιούν την περιστροφή κλειδιού API για την προστασία των κλειδιών ελέγχου ταυτότητας, κάτι που θα ακυρώσει τα εκτεθειμένα κλειδιά μετά από μερικούς μήνες.
Εφαρμογές που έχουν μεταξύ 50.000 και 5.000.000 λήψεις, συμπεριλαμβανομένων συνοδών μεταφοράς πόλης, ραδιοφωνικούς δέκτες, αναγνώστες βιβλίων, καταγραφείς εκδηλώσεων, εφημερίδες, εφαρμογές ηλεκτρονικής τραπεζικής, εφαρμογές GPS για ποδήλατο και άλλες, έχουν επηρεαστεί.