Siber güvenlik araştırmacıları, Twitter API anahtarlarını halka açığa çıkaran bir dizi 3.207 mobil uygulamayı ortaya çıkardı ve potansiyel olarak bir tehdit oyuncusunun kullanıcıların uygulama ile ilişkili Twitter hesaplarını devralmasını sağladı.
Keşif, potansiyel veri sızıntıları için büyük uygulama setlerini inceleyen ve 3.207'nin Twitter API'sı için geçerli bir tüketici anahtarı ve tüketici sırrı sızdırmasını bulduğunu bulmuş olan siber güvenlik firması Cloudsek'e aittir.
Mobil uygulamaları Twitter ile entegre ederken, geliştiricilere mobil uygulamalarının Twitter API ile etkileşime girmesine izin veren özel kimlik doğrulama anahtarları veya jetonlar verilecektir. Bir kullanıcı Twitter hesaplarını bu mobil uygulamayla ilişkilendirdiğinde, anahtarlar ayrıca uygulamanın kullanıcı adına hareket etmesini, Twitter üzerinden kaydetmek, tweetler oluşturmak, DMS göndermek vb.
Bu kimlik doğrulama anahtarlarına erişebilmek, kimsenin ilişkili Twitter kullanıcıları olarak işlem yapmasına izin verebileceğinden, anahtarları doğrudan tehdit aktörlerinin bulabileceği bir mobil uygulamada depolamanız önerilmez.
CloudSek, API anahtarlarının sızıntısının genellikle kimlik doğrulama anahtarlarını Twitter API'sına yerleştiren ancak cep telefonu piyasaya sürüldüğünde kaldırmayı unutan uygulama geliştiricilerinin hatalarının sonucu olduğunu açıklıyor.
Bu durumlarda, kimlik bilgileri aşağıdaki konumlarda mobil uygulamalarda saklanır:
CloudSek'e göre, bu erişimin kötüye kullanılması için en önemli senaryolardan biri, bir tehdit aktörünün bu maruz kalan belirteçleri, sahte haberleri, kötü amaçlı yazılım kampanyaları ile çok sayıda takipçisi olan doğrulanmış (güvenilir) bir Twitter ordusu oluşturmak için kullanması olacaktır. , kripto para dolandırıcıları, vb.
CloudSek, API anahtarlarının sızıntısının genellikle kimlik doğrulama anahtarlarını Twitter API'sına yerleştiren uygulama geliştiricilerinin hatalarının sonucu olduğunu açıklıyor, ancak mobil yayınlandığında bunları kaldırmayı unutuyor.
Bu durumlarda, kimlik bilgileri aşağıdaki konumlarda mobil uygulamalarda saklanır:
CloudSek, geliştiricilerin, birkaç ay sonra maruz kalan anahtarları geçersiz kılacak kimlik doğrulama anahtarlarını korumak için API anahtar rotasyonunu kullanmasını önerir.
CloudSek, BleepingComputer ile etkilenen uygulamaların bir listesini paylaştı ve şehir taşımacılığı yoldaşları, radyo tunerleri, kitap okuyucuları, etkinlik kaydı yapanlar, gazeteler, e-banking uygulamaları, bisiklet GPS uygulamaları ve daha fazlası dahil olmak üzere 50.000 ila 5.000.000 indirme uygulamalarıyla.
API anahtarlarını kamuya açıklayan çoğu uygulama, siber güvenlik firmasının onları uyarmasından bu yana bir ay sonra CloudSek'in bildirimlerini almayı kabul etmedi ve çoğu sorunları ele almadı.
Bu nedenle, BleepingComputer, sömürü ve Twitter hesabı devralmasına karşı hala savunmasız oldukları için uygulamalar listesini açıklamayacaktır.
Dikkate değer bir istisna, 'Ford Events' uygulamasında Twitter API anahtarlarını da sızdıran bir düzeltme yapan Ford Motors'du.
Google Play'den 10 milyon kez yüklenen yeni Android kötü amaçlı yazılım uygulamaları
Hacker, 5.4 milyon kullanıcıdan oluşan Twitter hesap verilerini 30 bin dolara satıyor
Bu kodsuz oluşturucu anlaşmasıyla hızlı bir şekilde mobil ilk mikrositleri başlatın
Twitter kesintisi "Bir şeyler ters gitti" hata mesajı
Yeni Google Chrome özelliği, pil ömrünü uzatmak için CPU kullanımını azaltır
Kaynak: Bleeping Computer