Araştırmacılar, Twitter API anahtarlarını açığa çıkaran 3.000’den fazla mobil uygulama buldu



Siber güvenlik araştırmacıları, Twitter hesaplarına erişmek veya Twitter hesaplarını ele geçirmek için kullanılabilecek Twitter Inc. uygulama programlama arabirim anahtarlarını açığa çıkaran 3.000’den fazla mobil uygulama keşfetti.

Detaylı güvenlik firması CloudSEK tarafından bugün, 3.207 uygulamanın geçerli Tüketici Anahtarı ve Tüketici Sırrı anahtarlarını sızdırdığı tespit edildi. Bazıları tek boynuzlu at girişimlerine ait olarak tanımlanan yaklaşık 230 uygulamanın, Twitter hesaplarını tamamen devralmak için kullanılabilecek dört Twitter kimlik doğrulama bilgisinin tamamını sızdırdığı tespit edildi.

Tam erişimle, bir saldırgan, doğrudan mesajları okuma, retweetleme, beğenme, silme, silme ve takipçi ekleme gibi eylemleri gerçekleştirme yeteneğinin yanı sıra hesap ayarlarını ve hesaptaki görüntü resmini değiştirme yeteneği kazanır.

Araştırmacılar, API anahtarlarının açığa çıkmasının tipik olarak geliştiricilerin kimlik doğrulama anahtarlarını Twitter API’sine yerleştirdiği ancak mobil uygulama yayınlandığında bunları kaldırmayı unuttuğu hataların sonucu olduğunu açıklıyor.

API anahtarlarını açığa çıkararak, istismar riski gerçek olur. API anahtarlarına erişimi olan kötü niyetli bir oyuncu, bunları yanlış bilgi yaymak için kullanılabilecek veya bir kimlik avı dolandırıcılığında kullanılabilecek bir “Twitter bot ordusu” oluşturmak için kullanabilir.

Araştırmacılar, Twitter’ın “sahte askıya alma bildirimleri” kimlik avı dolandırıcılığını teşvik etmek için kullanıldığı yakın tarihli bir vakayı vurguluyor. Bu durumda, dolandırıcılığa güven vermek için doğrulanmış Twitter hesapları kullanıldı.

Araştırmacılar, API anahtarlarının doğrudan koda gömülü olmamasının zorunlu olduğu ve geliştiricilerin güvenli kodlama ve dağıtım süreçlerini izlemesi gerektiği sonucuna vardı. Süreçler, doğru sürüm oluşturmayı sağlamak için standart bir inceleme prosedürünü uygulamayı, güvenliği artırmak için anahtarları gizlemeyi ve sızdırılmış anahtar tehdidini azaltmak için API anahtarlarını döndürmeyi içerir.

Mobil uygulama koruma şirketinin CEO’su David Stewart, “Bu sorunu çözmenin yalnızca iki yolu var” dedi. onay, dedi SiliconANGLE. “Ya API anahtarlarınızı cihaz dışında saklamanıza ve bunları yalnızca gerektiğinde teslim etmenize olanak tanıyan bir mobil güvenlik çözümü benimseyin ya da arka uç verilerine ve kaynaklarına erişmek için API anahtarının yanında ikinci bir bağımsız faktörün bulunmasını gerektirerek API anahtarlarının etkin bir şekilde kullanılabildiğinden emin olun. Dışarı sızsalar bile suistimal edilmemeli.”

Resim: maksimum piksel

Uzmanlardan oluşan Cube Club ve Cube Event Topluluğumuza katılarak misyonumuza desteğinizi gösterin. Amazon Web Servisleri ve Amazon.com CEO’su Andy Jassy, ​​Dell Technologies’in kurucusu ve CEO’su Michael Dell, Intel CEO’su Pat Gelsinger ve daha birçok aydınlatıcı ve uzmanı içeren topluluğa katılın.


Kaynak : https://siliconangle.com/2022/08/01/researchers-find-3000-mobile-apps-exposing-twitter-api-keys/

Yorum yapın