Mobilalkalmazások ezrei szivárogtatnak ki Twitter API-kulcsokat – amelyek közül néhány lehetőséget ad a rosszindulatú feleknek arra, hogy hozzáférjenek vagy átvegyék ezen alkalmazások felhasználóinak Twitter-fiókjait, és bothadsereget építsenek fel dezinformáció, spam és rosszindulatú programok terjesztésére a közösségi média platformon keresztül.
Az indiai székhelyű CloudSEK kutatói elmondták, hogy összesen 3207 mobilalkalmazást azonosítottak, amelyek érvényes Twitter fogyasztói kulcsra és titkos kulcsra vonatkozó információkat szivárogtattak ki. Az alkalmazások közül körülbelül 230 OAuth hozzáférési tokeneket és hozzáférési titkokat is kiszivárogtatott.
Az információk együttesen lehetőséget adnak a támadóknak, hogy hozzáférjenek ezen alkalmazások felhasználóinak Twitter-fiókjaihoz, és különféle műveleteket hajtsanak végre. Ez magában foglalja az üzenetek olvasását; a felhasználó nevében retweetelni, kedvelni vagy törölni a bejegyzéseket; távolítsa el a követőket vagy kövessen új fiókokat; és lépjen be a fiókbeállításokba, és tegyen olyan dolgokat, mint például a kijelző képének módosítása – mondta a CloudSEK.
Alkalmazásfejlesztő hiba
A gyártó a problémát az alkalmazásfejlesztőknek tulajdonította, akik a fejlesztési folyamat során elmentették a hitelesítési információkat a mobilalkalmazásukban, hogy kommunikálni tudjanak a Twitter API-jával. Az API lehetőséget biztosít a külső fejlesztőknek arra, hogy Twitter-funkciókat és adatokat ágyazzanak be alkalmazásaikba.
“Például, ha egy játékalkalmazás a legmagasabb pontszámot közvetlenül a Twitter-hírcsatornájába teszi közzé, akkor azt a Twitter API hajtja” – mondta a CloudSEK az eredményekről szóló jelentésében. A fejlesztők azonban gyakran nem távolítják el a hitelesítési kulcsokat, mielőtt feltöltik az alkalmazást egy mobilalkalmazás-áruházba, ami fokozott kockázatnak teszi ki a Twitter felhasználóit – mondta a biztonsági szolgáltató.
„A „minden hozzáférésű” API-kulcs feltárása lényegében a bejárati ajtókulcsok feladását jelenti” – mondta Scott Gerlach, a StackHawk, az API biztonsági tesztelési szolgáltatásokat nyújtó társalapítója és CSO-ja. “Meg kell értenie, hogyan kezelheti a felhasználói hozzáférést egy API-hoz, és hogyan adhat biztonságosan hozzáférést az API-hoz. Ha ezt nem érti, akkor maga a nyolc labda mögé került.”
A CloudSEK számos módot azonosított a támadók számára, hogy kihasználják a nyilvánosságra hozott API-kulcsokat és tokent. Ha beágyazza őket egy forgatókönyvbe, az ellenfél potenciálisan összeállíthat egy Twitter bot hadsereget, hogy nagy léptékű dezinformációt terjeszthessen. “Több számla átvételével egymás után elénekelhető ugyanaz a dallam, megismételve a kifizetendő üzenetet” – figyelmeztettek a kutatók. A támadók ellenőrzött Twitter-fiókokat is használhatnak rosszindulatú programok, spam terjesztésére és automatizált adathalász támadások végrehajtására.
Yaniv Balmas, a Salt Security kutatási alelnöke szerint a Twitter API-probléma, amelyet a CloudSEK azonosított, a korábban bejelentett titkos API-kulcsok véletlenül kiszivárgott vagy nyilvánosságra hozott eseteire emlékeztet. “A fő különbség ez és a legtöbb korábbi eset között az, hogy amikor egy API-kulcs ki van téve, a legnagyobb kockázat az alkalmazást/szállítót fenyegeti.”
Vegyük például a GitHubon megjelenő AWS S3 API-kulcsokat – mondja. “Azonban ebben az esetben, mivel a felhasználók lehetővé teszik a mobilalkalmazás számára, hogy saját Twitter-fiókjukat használják, a probléma lényegében ugyanolyan kockázatnak teszi ki őket, mint magát az alkalmazást.”
A titkos kulcsok ilyen kiszivárogtatása számos lehetséges kizsákmányolás és támadás lehetőségét nyitja meg, mondja Balmas.
Csúcs mobil/IoT fenyegetések
A CloudSEK jelentése ugyanazon a héten jelenik meg, mint egy új Verizon jelentés, amely rávilágított a mobil- és IoT-eszközöket érintő jelentős kibertámadások évről évre 22%-os növekedésére. A Verizon-jelentésben, amely 632 informatikai és biztonsági szakember részvételével készült felmérésen alapul, a válaszadók 23%-a mondta azt, hogy szervezetük komoly mobilbiztonsági problémát tapasztalt az elmúlt 12 hónapban. A felmérés azt mutatta, hogy nagy aggodalomra ad okot a mobilbiztonságot fenyegető veszélyek, különösen a kiskereskedelmi, pénzügyi, egészségügyi, gyártási és közszférában. A Verizon a növekedést a távoli és hibrid munkára való átállásnak tulajdonította az elmúlt két évben, és az ebből eredően a felügyelet nélküli otthoni hálózatok és a személyes eszközök használatának robbanásszerű használatában a vállalati eszközök eléréséhez.
“A mobileszközök elleni támadások száma – beleértve a célzott támadásokat is – tovább növekszik, csakúgy, mint a vállalati erőforrásokhoz való hozzáférést biztosító mobileszközök terjedése” – mondta Mike Riley, a Verizon Business vállalati biztonságért felelős vezető megoldásszakértője. „Nevezetesen, hogy a támadások száma évről évre növekszik, és a válaszadók arról számoltak be, hogy a súlyosságuk a mobil/IoT-eszközök számának növekedésével együtt nőtt.”
A mobileszközök elleni támadások legnagyobb hatással a szervezetekre az adatvesztés és az állásidő volt – teszi hozzá.
Az elmúlt két évben a mobileszközöket célzó adathalász kampányok is az egekbe szöktek. A több mint 200 millió eszközről és 160 millió alkalmazásból összegyűjtött és elemzett Telemetry Lookout kimutatta, hogy 2021-ben az üzleti felhasználók 15%-a és a fogyasztók 47%-a tapasztalt legalább egy mobil adathalász támadást minden negyedévben – ez 9 százalékos növekedés. % és 30%-a az előző évinek.
„Meg kell vizsgálnunk a mobileszközök biztonsági trendjeit a felhőben tárolt adatok védelmével összefüggésben” – mondta Hank Schless, a Lookout biztonsági megoldásokért felelős vezető menedzsere. „A mobileszköz biztonságossá tétele egy fontos első lépés, de a szervezet és az adatok teljes körű biztonsága érdekében képesnek kell lennie arra, hogy a mobilkockázatot a számos jel egyikeként használja fel, amelyek a felhőben lévő adatokhoz való hozzáférésre vonatkozó biztonsági szabályzatot erősítik, függetlenül a helyiségektől. és privát alkalmazások.”