3200 App泄露推特API密鑰，可實現賬戶劫持

超過3200個App泄露推特API密鑰，可實現賬戶劫持。

網絡安全公司CloudSEK研究人員發現有3207個手機APP暴露了推特API密鑰，攻擊者利用暴露的推特API密鑰可以接管與該APP關聯的用戶推特賬戶。

背景 

在開發手機APP過程中，可以將推特功能融入到手機APP中，具體來說，開發者會擁有一個特殊的認證密鑰或token，允許手機APP與推特API進行交互。當用戶將推特賬戶與手機APP關聯時，該密鑰就可以讓APP以用戶的身份進行操作，比如通過推特登錄、創建新推文、發送推文等。有了認證密鑰后，任何人都可以以相關的推特用戶身份來執行動作，因此不建議將密鑰直接保存在手機APP中。

CloudSEK稱，API密鑰泄露一般都是APP開發者誤配置導致的，比如將推特API認證密鑰配置在手機APP中，但是在APP發布時忘記刪除。一般，憑證會保存在手機APP的以下位置：

· resources/res/values/strings.xml

· source/resources/res/values-es-rAR/strings.xml

· source/resources/res/values-es-rCO/strings.xml

· source/sources/com/app-name/BuildConfig.java

分析

研究人員對上傳到Bevigil的手機APP進行分析，發現：

· 5603個APP泄露了Twitter API key/token；

· 5033個APP泄露了Twitter secret/token secret；

· 4810個APP泄露了Twitter API key/token和Twitter secret/token secret

這4810個APP中，有3207個APP的Twitter API key/token和Twitter secret/token secret都是有效的。其中230個APP泄露了所有的4個認證憑證，可以用于完全控制推特賬戶來執行以下敏感操作：

· 讀取直接消息；

· 回復和點贊推文；

· 創建或刪除推文；

· 移除或添加新的關注；

· 訪問賬戶設置；

· 修改展示圖片。

其中有57家公司還進行了Twitter API企業版訂閱，需要每月支付149美元給推特。

CloudSEK稱，泄露后的API被濫用的場景之一就是創建推特水軍來推廣虛假新聞、惡意軟件活動和加密貨幣垃圾郵件等。

影響和修復

CloudSEK給出的受影響的應用列表中包含下載量在5萬到500萬的APP，涉及城市交通、電子書閱讀器、事件記錄器、新聞、電子銀行APP、GPS app等。

在CloudSEK向受影響的APP開發公司發布告警消息后，大多數企業沒有在1個月內給出回復，目前大多數受影響的APP仍未被修復。

如何應對

除了不將APK Key直接嵌入代碼中外，開發者還需遵循以下安全編碼和部署實踐：

· 將審核流程標準化：在發布前需要對代碼進行檢查、審查和批準，標準化的流程可以預防密鑰泄露。

· 隱藏密鑰：環境變量是引用密鑰的一種方式，要確保源碼中包含環境變量的文件沒有被包含進去。

· 更換API key：更換密鑰可以幫助減少泄露密鑰帶來的風險。

參考及來源：https://www.bleepingcomputer.com/news/security/over-3-200-apps-leak-twitter-api-keys-some-allowing-account-hijacks/

文章來源：嘶吼專業版