Twitter API-nycklar läcker av tusentals appar, vilket ger angripare möjligheten att ta full kontroll över dessa konton och använda dem för identitetsstöld (öppnas i en ny flik) eller andra typer av cyberbedrägerier.
Resultaten kommer med tillstånd av cybersäkerhetsexperter CloudSEK, som hittade totalt 3207 XNUMX mobilappar som läckte giltiga konsumentnycklar, såväl som konsumenthemligheter, för Twitter API.
Flera mobilappar erbjuder integration med Twitter, vilket gör att de kan utföra vissa åtgärder för användares räkning. Integrationen görs genom Twitter API och med hjälp av Consumer Keys and Secrets. Genom att avslöja den här typen av data tillåter apparna potentiellt hotaktörer att twittra saker, skicka och läsa direktmeddelanden eller liknande. I teorin, förklarar CloudSEK, kan en hotaktör skapa en "armé" av Twitter-slutpunkter (öppnas i en ny flik) som främjar en bedrägeri- eller skadlig kodkampanj genom att twittra, retweeta, kontakta via direktmeddelanden, etc.
miljoner nedladdningar
Forskarna sa att apparna i fråga inkluderar nätbanksappar, stadstransportappar, radiotuners, etc., och var och en har mellan 50.000 XNUMX och fem miljoner nedladdningar.
Med andra ord är miljontals Twitter-konton med största sannolikhet i riskzonen.
Alla appägare har blivit meddelade, men de flesta har inte ens erkänt att de blivit underrättade, än mindre löst problemet. Ford Motors är ett av företagen som snabbt fixade problemet, på sin Ford Events-app, hette det.
Tills andra appar löser problemet kommer listan över appar inte att göras offentlig.
API-läckor, tillade forskarna, är vanligtvis resultatet av misstag i applikationsutvecklingen. Ibland bäddar utvecklare in autentiseringsnycklar i Twitter API och glömmer sedan bort att ta bort dem.
För att förhindra sådana läckor rekommenderar CloudSEK utvecklare att använda API-nyckelrotation, vilket skulle ogiltigförklara exponerade nycklar efter en tidsperiod.
Via: BleepingComputer (öppnas i en ny flik)