研究發現近 3200 個移動應用程序泄露Twitter API密鑰
研究人員發現了一份包含 3,207 個應用程序的列表,其中一些可用于未經授權訪問 Twitter 帳戶。
總部位于新加坡的網絡安全公司CloudSEK 在與 The Hacker News 獨家分享的一份報告中表示,由于合法的消費者密鑰和消費者秘密信息分別泄露,此次收購成為可能。
研究人員說:“在 3,207 個應用程序中,有 230 個應用程序泄露了所有四個身份驗證憑據,可用于完全接管其 Twitter 帳戶,并可以執行任何關鍵/敏感操作。”
這可以從閱讀直接消息到執行任意操作,例如轉發、喜歡和刪除推文、關注任何帳戶、刪除關注者、訪問帳戶設置,甚至更改帳戶個人資料圖片。
訪問 Twitter API需要生成密鑰和訪問令牌,它們充當應用程序的用戶名和密碼,以及將代表其發出 API 請求的用戶。
因此,擁有這些信息的惡意行為者可以創建一個 Twitter 機器人軍隊,可能被利用在社交媒體平臺上傳播錯誤/虛假信息。
研究人員指出:“當可以利用多個帳戶接管來同時唱同一首曲子時,它只會重申需要支付的信息。”
更重要的是,在 CloudSEK 解釋的假設場景中,從移動應用程序中獲取的 API 密鑰和令牌可以嵌入到程序中,通過經過驗證的帳戶運行大規模惡意軟件活動,以針對他們的追隨者。
值得關注的是,應該注意的是,密鑰泄漏不僅限于 Twitter API。過去,CloudSEK 研究人員從未受保護的移動應用程序中發現了 GitHub、AWS、HubSpot 和 Razorpay 帳戶的密鑰。
為了緩解此類攻擊,建議查看直接硬編碼的 API 密鑰的代碼,同時定期輪換密鑰以幫助降低泄漏帶來的可能風險。
研究人員說:“環境中的變量是引用密鑰并偽裝它們的替代方法,除了不將它們嵌入源文件中。”
“變量可以節省時間并提高安全性。應充分注意確保不包含源代碼中包含環境變量的文件。”
