Эксперты по безопасности обнаружили, что более 3200 мобильных приложений пропускают ключи Twitter API, что потенциально позволяет злоумышленникам завладеть учетными записями пользователей.
С помощью ключей Twitter API разработчики могут подключаться к платформе социальных сетей и включать различные функции в свои собственные приложения. Например, игровые приложения могут публиковать самые высокие оценки пользователей непосредственно в их учетных записях Twitter. Аутентификация осуществляется с помощью токенов или ключей Twitter API.
Однако CloudSEK обнаружил, что эти ключи часто непреднамеренно оставлялись в API-интерфейсах Twitter разработчиками, не обладающими достаточными знаниями в области безопасности. Изучение обнаружили, что они могут использоваться для выполнения множества деликатных задач, таких как чтение личных сообщений, ретвиты, лайки, удаление, удаление подписчиков, подписка на учетные записи и изменение отображаемых фотографий.
По данным CloudSEK, 3207 приложений раскрыли законный ключ потребителя и секрет потребителя, что, возможно, позволило злоумышленникам создать значительную армию учетных записей ботов. Прежде чем объяснять риски, мы рекомендуем вам ознакомиться с нашим руководством, в котором объясняется, как исправить ошибку входа в Твиттер 7.
Ключи Twitter API утекли более чем в 3200 приложений
CloudSEK пытается создать армию ботов Twitter, которая сможет защитить пользователей в любом конфликте. Тем не менее, война дезинформации в Интернете, управляемая ботами, может быть самой опасной. Изобретатель Интернета Тим Бернерс-Ли утверждал, что для распространения ложной информации слишком просто, потому что большинство людей получают новости из избранной группы платформ социальных сетей и поисковых систем, которые получают прибыль от кликов пользователей по ссылкам. Ложные новости могут «распространяться со скоростью лесного пожара» на этих веб-сайтах, потому что их алгоритмы часто отдают предпочтение информации, основанной на том, с чем пользователи, скорее всего, взаимодействуют.
Тем не менее, дескрипторы Twitter могут быть легко использованы для распространения ложной информации, что расширит его охват. С другой стороны, мошенничество и угрозы могут быть ловко вплетены в эту коммуникационную стратегию и выглядеть реальными. Недавно через Twitter было распространено фишинговое мошенничество с «фальшивыми уведомлениями о приостановке».
Для поддержки мошенничества использовались проверенные дескрипторы. Кроме того, он активно участвовал в президентских выборах в США в 2016 году. Твиттер вызвал еще больше споров, когда его использовали для распространения слухов об эпидемии COVID-19. Проблема выходит за рамки простого общения в сети, как и с любым веб-сайтом социальной сети.
Twitter идет еще дальше, поскольку для многих пользователей он служит единственным источником новостей и информации. Поскольку сообщение необходимо повторять, можно использовать многочисленные захваты учетных записей, чтобы петь одну и ту же песню в унисон.
«Иногда эти учетные данные не удаляются перед развертыванием в производственной среде. Как только приложение загружается в магазин игр, секреты API становятся доступными для всех», — CloudSek. заявил.
«Хакер может просто загрузить приложение и декомпилировать его, чтобы получить учетные данные API. Таким образом, отсюда можно собирать массовые API-ключи и токены для подготовки армии ботов Twitter».
Согласно исследованию, этот тип бота Twitter может использоваться для:
- Распространять ложную информацию по всему миру
- Проводите обширные вредоносные кампании, чтобы заразить подписчиков взломанных учетных записей.
- Начать спам-операции, направленные на поощрение мошенничества с инвестициями.
- Автоматизируйте фишинг, чтобы облегчить дополнительные усилия по социальной инженерии
CloudSEK предупредил разработчиков о необходимости регулярно проводить проверки кода, следить за тем, чтобы файлы исходного кода не содержали «переменные среды», и менять ключи Twitter API.
Поскольку сайты социальных сетей, такие как Twitter, гордятся тем, что предоставляют информацию в режиме реального времени, бывает сложно отличить преднамеренную ложь от непреднамеренной. Поэтому крайне важно, чтобы платформы социальных сетей предотвращали их использование для распространения ложной информации.
Безопасность данных социальных сетей и предотвращение распространения ложной информации через проверенные логины одинаково важны для бизнеса. И для этого необходимо соблюдать безопасный код и методы развертывания. Такие инструменты, как BeVigil, также можно использовать для проверки открытых ключей и учетных данных.
Вы также можете узнать, как отключить звук обновления Twitter, посетив наше руководство.
Source: Ключи Twitter API утекают из более чем 3200 мобильных приложений