數以千計的APP正在泄露Twitter的API密鑰
來自印度CloudSEK的安全研究人員表示,他們已經確定共有3207個移動應用程序泄露了有效的Twitter用戶密鑰和密鑰信息。大約230個應用程序被發現泄露了OAuth訪問令牌和訪問機密。
這些信息為攻擊者提供了訪問用戶Twitter帳戶并執行各種操作的機會,包括:
- 閱讀信息
- 代表用戶轉發、點贊或刪除消息
- 刪除關注者或關注新帳戶
- 修改賬戶設置,例如修改頭像
研究人員將該問題歸因于應用程序開發人員在開發過程中將身份驗證憑據保存在其移動應用程序中,以便與Twitter的API進行交互。后者為第三方開發人員提供了一種將Twitter的功能和數據嵌入到他們的應用程序中的方法。
“例如,如果一個游戲應用程序直接在你的Twitter提要上發布你的游戲積分,該功能是由Twitter API提供支持的。”CloudSEK在其調查報告中指出。CloudSEK表示,開發人員通常無法在將應用程序上傳到移動應用程序商店之前刪除身份驗證密鑰,從而使Twitter用戶面臨更大的風險。
CloudSEK確定了攻擊者可以濫用公開的API密鑰和令牌的多種方式。例如通過將密鑰嵌入到腳本中,黑客可以組建一支Twitter機器人軍隊來大規模傳播虛假信息。研究人員警告說:“攻擊者還可以使用經過驗證的Twitter帳戶來傳播惡意軟件和垃圾郵件,并進行自動化網絡釣魚攻擊。”
Salt Security研究副總裁Yaniv Balmas表示,CloudSEK發現的Twitter API問題類似于先前報告的一些API密鑰泄露或暴露的實例。“但與之前大多數案例的主要區別在于,通常當API密鑰暴露時,主要風險在于應用程序/供應商,例如GitHub上公開的AWS S3 API密鑰。”
然而,Twitter的API密鑰泄露要嚴重得多,因為用戶授權移動應用程序使用他們的Twitter賬戶,從而將自己也置身于應用程序所面臨的風險中。此類密鑰泄露也為許多可能的濫用和攻擊場景創造了可能性。
報告鏈接:
https://cloudsek.com/whitepapers_reports/how-leaked-twitter-api-keys-can-be-used-to-build-a-bot-army/
