Binlerce uygulama Twitter API anahtarlarını sızdırıyor ve saldırganlara bu hesapları tamamen ele geçirme ve kimlik hırsızlığı için kullanma şansı veriyor. (yeni sekmede açılır) veya diğer siber dolandırıcılık türleri.
Bulgular, Twitter API için geçerli Tüketici Anahtarlarını ve Tüketici Sırlarını sızdıran toplam 3.207 mobil uygulama bulan siber güvenlik uzmanları CloudSEK’in izniyle geldi.
Çeşitli mobil uygulamalar, Twitter ile entegrasyon sunarak, bu uygulamaların kullanıcıların yerine belirli eylemleri gerçekleştirmesine olanak tanır. Entegrasyon, Twitter API aracılığıyla ve Tüketici Anahtarları ve Sırları yardımıyla yapılır. Uygulamalar, bu tür verileri sızdırarak, potansiyel olarak tehdit aktörlerinin bir şeyleri tweetlemesine, doğrudan mesaj gönderip okumasına veya benzerlerine izin verir. CloudSEK, teoride bir tehdit aktörünün Twitter uç noktalarından oluşan bir “ordu” oluşturabileceğini açıklıyor. (yeni sekmede açılır) tweetleyerek, retweetleyerek, DM’ler aracılığıyla ulaşarak vb. bir dolandırıcılık veya kötü amaçlı yazılım kampanyasını teşvik edecek.
Milyonlarca indirme
Araştırmacılar, söz konusu uygulamaların e-bankacılık uygulamaları, şehir içi ulaşım uygulamaları, radyo alıcıları ve benzerlerini içerdiğini ve her birinin 50.000 ila beş milyon arasında indirildiğini söyledi.
Başka bir deyişle, milyonlarca Twitter hesabı büyük olasılıkla risk altındadır.
Tüm uygulama sahipleri bilgilendirildi, ancak çoğu, sorunu çözmek bir yana, bilgilendirildiğini bile kabul edemedi. Ford Events uygulamasında Ford Motors’un sorunu hızlı çözen şirketlerden biri olduğu söylendi.
Diğer uygulamalar sorunu çözene kadar uygulamaların listesi herkese açık hale getirilmeyecektir.
Araştırmacılar, API sızıntılarının genellikle uygulama geliştirmedeki hataların sonucu olduğunu ekledi. Bazen geliştiriciler, kimlik doğrulama anahtarlarını Twitter API’sine yerleştirir ve daha sonra bunları kaldırmayı unutur.
Bu tür sızıntıları önlemek için CloudSEK, geliştiricilerin API anahtar döndürme kullanmasını önerir ve bu da açıkta kalan anahtarları bir süre sonra geçersiz kılar.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)
