Los investigadores han descubierto una lista de 3207 aplicaciones móviles que exponen claves API de Twitter, algunas de las cuales pueden utilizarse para obtener acceso no autorizado a cuentas de Twitter asociadas con ellas.
La adquisición es posible gracias a una filtración de información legítima de Consumer Key y Consumer Secret, respectivamente, firma de seguridad cibernética con sede en Singapur. CloudSEK dijo en un informe compartido exclusivamente con The Hacker News.
«De 3.207, 230 aplicaciones están filtrando las cuatro credenciales de autenticación y se pueden usar para hacerse cargo por completo de sus cuentas de Twitter y pueden realizar cualquier acción crítica/sensible», dijeron los investigadores.
Esto puede variar desde leer mensajes directos hasta realizar acciones arbitrarias como retuitear, dar me gusta y eliminar tuits, seguir cualquier cuenta, eliminar seguidores, acceder a la configuración de la cuenta e incluso cambiar la imagen de perfil de la cuenta.
Acceso a la API de Twitter requiere generar claves secretas y tokens de acceso, que actúan como nombres de usuario y contraseñas para las aplicaciones, así como los usuarios en cuyo nombre se realizarán las solicitudes de API.
Un actor malicioso en posesión de esta información puede, por lo tanto, crear un ejército de bots de Twitter que podría aprovecharse potencialmente para difundir información errónea/desinformación en la plataforma de redes sociales.
«Cuando se pueden utilizar múltiples adquisiciones de cuentas para cantar la misma melodía en tándem, solo se reitera el mensaje que debe distribuirse», señalaron los investigadores.
Además, en un escenario hipotético explicado por CloudSEK, las claves API y los tokens recopilados de las aplicaciones móviles se pueden integrar en un programa para ejecutar campañas de malware a gran escala a través de cuentas verificadas para dirigirse a sus seguidores.
Además de la preocupación, debe tenerse en cuenta que la filtración de claves no se limita solo a las API de Twitter. En el pasado, los investigadores de CloudSEK descubrieron las claves secretas de las cuentas de GitHub, AWS, HubSpot y Razorpay de aplicaciones móviles desprotegidas.
Para mitigar este tipo de ataques, se recomienda revisar el código de las claves de API directamente codificadas y, al mismo tiempo, rotar periódicamente las claves para ayudar a reducir los posibles riesgos derivados de una fuga.
«Las variables en un entorno son medios alternativos para referirse a las claves y disfrazarlas además de no incrustarlas en el archivo fuente», dijeron los investigadores.
«Las variables ahorran tiempo y aumentan la seguridad. Se debe tener el cuidado adecuado para garantizar que no se incluyan archivos que contengan variables de entorno en el código fuente».