Ponad 3200 aplikacji mobilnych wycieka klucze API Twittera

Eksperci ds. bezpieczeństwa odkryli, że ponad 3200 aplikacji mobilnych wycieka klucze API Twittera, potencjalnie umożliwiając cyberprzestępcom przejęcie kont użytkowników.

Za pomocą kluczy API Twittera programiści mogą łączyć się z platformą mediów społecznościowych i włączać różne funkcje do własnych aplikacji. Na przykład aplikacje do gier mogą publikować najwyższe wyniki użytkowników bezpośrednio na ich kontach na Twitterze. Uwierzytelnianie odbywa się za pomocą tokenów lub kluczy Twitter API.

Jednak CloudSEK odkrył, że te klucze były często nieumyślnie pozostawiane w interfejsach API Twittera przez programistów o niewielkiej wiedzy na temat bezpieczeństwa. Badania odkryli, że mogą być niewłaściwie wykorzystywane do wykonywania różnych delikatnych zadań, takich jak czytanie wiadomości bezpośrednich, retweetowanie, polubienie, usuwanie, usuwanie obserwujących, obserwowanie kont i zmienianie wyświetlanych zdjęć.

Według CloudSEK, 3207 aplikacji ujawniło legalny klucz konsumenta i tajny klucz klienta, co prawdopodobnie umożliwiło złośliwym cyberprzestępcom stworzenie sporej armii kont botów. Przed wyjaśnieniem zagrożeń zalecamy zapoznanie się z naszym przewodnikiem wyjaśniającym, jak naprawić błąd logowania do Twittera 7.

Samsung zaprezentuje Galaxy Ring 2 i inteligentne okulary

Eksperci ds. bezpieczeństwa odkryli, że ponad 3200 aplikacji mobilnych wycieka klucze API Twittera, potencjalnie umożliwiając cyberprzestępcom przejęcie kont użytkowników. — Za pomocą kluczy API Twittera programiści mogą łączyć się z platformą mediów społecznościowych i włączać różne funkcje do własnych aplikacji.

Ponad 3200 aplikacji wycieka klucze API Twittera

CloudSEK próbuje zbudować armię botów na Twitterze, która może bronić użytkowników w każdym konflikcie. Jednak wojna dezinformacyjna prowadzona przez boty w Internecie może być najbardziej niebezpieczna. Wynalazca Internetu, Tim Berners-Lee, twierdził, że rozpowszechnianie fałszywych informacji jest zbyt proste, ponieważ większość ludzi czerpie wiadomości z wybranej grupy platform mediów społecznościowych i wyszukiwarek, które czerpią zyski z klikania linków przez użytkowników. Fałszywe wiadomości mogą „rozprzestrzeniać się lotem błyskawicy” na tych stronach, ponieważ ich algorytmy często faworyzują informacje na podstawie tego, z czym użytkownicy najprawdopodobniej się zaangażują.

Jednak uchwyty Twittera mogą być łatwo wykorzystywane do rozpowszechniania fałszywych informacji, poszerzając jego zasięg. Z drugiej strony oszustwa i groźby mogą być zręcznie wplecione w tę strategię komunikacji i sprawić, by wyglądały na realne. Niedawno oszustwo phishingowe „fałszywe powiadomienia o zawieszeniu” zostało rozpowszechnione za pośrednictwem Twittera.

W celu wsparcia oszustwa zastosowano sprawdzone uchwyty. Ponadto aktywnie uczestniczył w wyborach prezydenckich w USA w 2016 roku. Twitter wzbudził jeszcze więcej kontrowersji, gdy został wykorzystany do rozpowszechniania plotek o epidemii COVID 19. Problem wykracza poza proste sieciowanie, jak w przypadku każdego serwisu społecznościowego.

7 sprawdzonych sposobów na zdobycie pracy w marketingu cyfrowym

Twitter idzie o krok dalej, ponieważ dla wielu jego użytkowników jest jedynym źródłem wiadomości i informacji. Ponieważ wiadomość musi zostać powtórzona, można wykorzystać wiele przejęć kont, aby wspólnie zaśpiewać tę samą piosenkę.

„Czasami te poświadczenia nie są usuwane przed wdrożeniem ich w środowisku produkcyjnym. Gdy aplikacja zostanie przesłana do Sklepu Play, tajne interfejsy API są dostępne dla każdego”, CloudSek stwierdził.

„Haker może po prostu pobrać aplikację i zdekompilować ją, aby uzyskać dane uwierzytelniające API. W ten sposób można zbierać masowe klucze i tokeny API, aby przygotować armię botów na Twitterze”.

Według badań tego typu bota na Twitterze można wykorzystać do:

Rozpowszechniaj fałszywe informacje na całym świecie
Prowadź szeroko zakrojone kampanie złośliwego oprogramowania, aby infekować obserwatorów zhakowanych kont
Rozpocznij operacje spamowe mające na celu zachęcanie do oszustw inwestycyjnych
Zautomatyzuj phishing, aby ułatwić dodatkowe działania związane z socjotechniką

Programiści zostali ostrzeżeni przez CloudSEK, aby przeprowadzali regularne przeglądy kodu, upewniali się, że żadne pliki kodu źródłowego nie zawierają „zmiennych środowiskowych” i rotują klucze API Twittera.

Reklama sztucznej inteligencji Harry'ego Pottera Balenciagi jest równie niepokojąca, co zabawna

Ponieważ serwisy społecznościowe, takie jak Twitter, szczycą się dostarczaniem informacji w czasie rzeczywistym, odróżnienie kłamstw zamierzonych od niezamierzonych może być trudne. Dlatego tak ważne jest, aby platformy mediów społecznościowych zapobiegały ich wykorzystywaniu do propagacji fałszywych informacji.

Równie ważne dla firm jest bezpieczeństwo danych w mediach społecznościowych i zapobieganie rozpowszechnianiu fałszywych informacji za pomocą zweryfikowanych chwytów. Aby to osiągnąć, należy przestrzegać bezpiecznych praktyk kodu i wdrażania. Narzędzia takie jak BeVigil mogą być również używane do sprawdzania ujawnionych kluczy i poświadczeń.

Możesz również dowiedzieć się, jak wyłączyć dźwięk odświeżania Twittera, odwiedzając nasz przewodnik.

Source: Ponad 3200 aplikacji mobilnych wycieka klucze API Twittera

Ponad 3200 aplikacji mobilnych wycieka klucze API Twittera

Ponad 3200 aplikacji wycieka klucze API Twittera

Related Stories

Microsoft przedstawia Surface RTX Spark Dev Box do zaawansowanych obciążeń AI

X uruchamia funkcję „Reaguj za pomocą wideo” dla użytkowników iOS

Microsoft przedstawia Project Solara, który będzie zasilał urządzenia nowej generacji przeznaczone dla agentów

Google udostępnia czerwcową aktualizację Androida z nowymi funkcjami bezpieczeństwa i udostępniania