Binlerce mobil uygulama Twitter API anahtarlarını sızdırıyor – bunlardan bazıları, düşmanlara bu uygulamaların kullanıcılarının Twitter hesaplarına erişme veya bunları ele geçirme yolu veriyor ve sosyal medya platformu aracılığıyla dezenformasyon, spam ve kötü amaçlı yazılım yaymak için bir bot ordusu oluşturuyor.
Hindistan merkezli CloudSEK’ten araştırmacılar, geçerli Twitter Tüketici Anahtarı ve Gizli Anahtar bilgilerini sızdıran toplam 3.207 mobil uygulama tespit ettiklerini söyledi. Uygulamaların yaklaşık 230’unun OAuth erişim belirteçlerini ve erişim sırlarını sızdırdığı tespit edildi.
Bilgiler birlikte, saldırganlara bu uygulamaların kullanıcılarının Twitter hesaplarına erişme ve çeşitli eylemler gerçekleştirme yolu sağlar. Bu, mesajların okunmasını içerir; kullanıcı adına mesajları retweetlemek, beğenmek veya silmek; takipçileri kaldırmak veya yeni hesapları takip etmek; CloudSEK, hesap ayarlarına gitmek ve ekran resmini değiştirmek gibi şeyler yapmak dedi.
Uygulama Geliştirici Hatası
Satıcı, sorunu, uygulama geliştiricilerinin, Twitter’ın API’si ile etkileşime girebilmeleri için geliştirme süreci sırasında mobil uygulamalarına kimlik doğrulama bilgilerini kaydetmelerine bağladı. API, üçüncü taraf geliştiricilere Twitter’ın işlevselliğini ve verilerini uygulamalarına yerleştirmenin bir yolunu sunar.
CloudSEK, bulgularıyla ilgili bir raporda, “Örneğin, bir oyun uygulaması yüksek puanınızı doğrudan Twitter akışınızda yayınlarsa, Twitter API’si tarafından desteklenir.” Dedi. Güvenlik sağlayıcısı, geliştiricilerin genellikle uygulamayı bir mobil uygulama mağazasına yüklemeden önce kimlik doğrulama anahtarlarını kaldırmayı başaramadıklarını ve bu nedenle Twitter kullanıcılarını yüksek riske maruz bıraktığını söyledi.
API güvenlik testi hizmetleri sağlayıcısı StackHawk’ın kurucu ortağı ve CSO’su Scott Gerlach, “Bir ‘tüm erişim’ API anahtarını açığa çıkarmak, esasen anahtarları ön kapıya vermektir” diyor. “Bir API’ye kullanıcı erişimini nasıl yöneteceğinizi ve API’ye nasıl güvenli erişim sağlayacağınızı anlamalısınız. Bunu anlamıyorsanız, sekiz topun çok gerisindesiniz.”
CloudSEK tanımlandı saldırganların açığa çıkan API anahtarlarını kötüye kullanabilecekleri birden çok yol ve jeton. Bir düşman, bunları bir senaryoya gömerek, dezenformasyonu kitlesel ölçekte yaymak için potansiyel olarak bir Twitter bot ordusu kurabilir. Araştırmacılar, “Aynı melodiyi birlikte söylemek için birden fazla hesap devralma kullanılabilir, bu da ödenmesi gereken mesajı tekrarlayabilir.” Saldırganlar, kötü amaçlı yazılım ve spam yaymak ve otomatik kimlik avı saldırıları gerçekleştirmek için doğrulanmış Twitter hesaplarını da kullanabilir.
Salt Security araştırma başkan yardımcısı Yaniv Balmas, CloudSEK’in belirlediği Twitter API sorununun daha önce bildirilen gizli API anahtarlarının yanlışlıkla sızdırıldığı veya açığa çıktığı durumlara benzediğini söylüyor. “Bu vaka ile öncekilerin çoğu arasındaki temel fark, genellikle bir API anahtarı açıkta bırakıldığında, en büyük riskin uygulama/satıcı için olmasıdır.”
Örneğin, GitHub’da açığa çıkan AWS S3 API anahtarlarını alın, diyor. “Ancak bu durumda, kullanıcılar mobil uygulamanın kendi Twitter hesaplarını kullanmasına izin verdiğinden, sorun aslında onları uygulamanın kendisiyle aynı risk seviyesine getiriyor.”
Balmas, bu tür gizli anahtar sızıntılarının çok sayıda olası suistimal ve saldırı senaryosu olasılığını ortaya çıkardığını söylüyor.
Mobil/IoT Tehditlerinde Artış
CloudSEK’in raporu aynı hafta geliyor Verizon’dan yeni bir rapor Bu, mobil ve IoT cihazlarını içeren büyük siber saldırılarda yıldan yıla %22’lik bir artışın altını çizdi. Verizon’un 632 BT ve güvenlik uzmanıyla yaptığı bir ankete dayanan raporunda, katılımcıların %23’ü kuruluşlarının son 12 ayda büyük bir mobil güvenlik açığı yaşadığını söyledi. Anket, özellikle perakende, finans, sağlık, üretim ve kamu sektörlerinde mobil güvenlik tehditleri konusunda yüksek düzeyde endişe olduğunu gösterdi. Verizon, artışı son iki yılda uzaktan ve hibrit çalışmaya geçişe ve bunun sonucunda kurumsal varlıklara erişmek için yönetilmeyen ev ağlarının ve kişisel cihazların kullanımındaki patlamaya bağladı.
Verizon Business kurumsal güvenlik kıdemli çözüm uzmanı Mike Riley, “Hedefli saldırılar da dahil olmak üzere mobil cihazlara yönelik saldırılar, kurumsal kaynaklara erişmek için mobil cihazların yaygınlaşmasıyla birlikte artmaya devam ediyor” diyor. “Önemli olan, saldırıların yıldan yıla artması ve katılımcıların mobil/IoT cihazlarının sayısındaki artışla birlikte şiddetin arttığını belirtmesi.”
Mobil cihazlara yönelik saldırıların kuruluşlar için en büyük etkisi veri kaybı ve kesinti süresi olduğunu ekliyor.
Mobil cihazları hedefleyen kimlik avı kampanyaları da son iki yılda arttı. Lookout’un 200 milyondan fazla cihazdan ve 160 milyon uygulamadan topladığı ve analiz ettiği telemetri, kurumsal kullanıcıların %15’inin ve tüketicilerin %47’sinin 2021’de her çeyrekte en az bir mobil kimlik avı saldırısı yaşadığını gösterdi – sırasıyla %9 ve %30 artış, önceki yıldan.
Lookout güvenlik çözümleri kıdemli yöneticisi Hank Schless, “Buluttaki verileri koruma bağlamında mobil cihazlarda güvenlik eğilimlerine bakmamız gerekiyor” diyor. “Mobil cihazın güvenliğini sağlamak önemli bir ilk adımdır, ancak kuruluşunuzu ve verilerini tam olarak güvence altına almak için bulutta, şirket içinde verilere erişmek için güvenlik politikalarınızı besleyen birçok sinyalden biri olarak mobil riski kullanabilmeniz gerekir. ve özel uygulamalar.”