来自印度CloudSEK的安全研究人员表示,他们已经确定共有3207个移动应用程序泄露了有效的Twitter用户密钥和密钥信息。大约230个应用程序被发现泄露了OAuth访问令牌和访问机密。
这些信息为攻击者提供了访问用户Twitter帐户并执行各种操作的机会,包括:
阅读信息
代表用户转发、点赞或删除消息
删除关注者或关注新帐户
修改账户设置,例如修改头像
研究人员将该问题归因于应用程序开发人员在开发过程中将身份验证凭据保存在其移动应用程序中,以便与Twitter的API进行交互。后者为第三方开发人员提供了一种将Twitter的功能和数据嵌入到他们的应用程序中的方法。
“例如,如果一个游戏应用程序直接在你的Twitter提要上发布你的游戏积分,该功能是由Twitter API提供支持的。”CloudSEK在其调查报告中指出。CloudSEK表示,开发人员通常无法在将应用程序上传到移动应用程序商店之前删除身份验证密钥,从而使Twitter用户面临更大的风险。
CloudSEK确定了攻击者可以滥用公开的API密钥和令牌的多种方式。例如通过将密钥嵌入到脚本中,黑客可以组建一支Twitter机器人军队来大规模传播虚假信息。研究人员警告说:“攻击者还可以使用经过验证的Twitter帐户来传播恶意软件和垃圾邮件,并进行自动化网络钓鱼攻击。”
Salt Security研究副总裁Yaniv Balmas表示,CloudSEK发现的Twitter API问题类似于先前报告的一些API密钥泄露或暴露的实例。“但与之前大多数案例的主要区别在于,通常当API密钥暴露时,主要风险在于应用程序/供应商,例如GitHub上公开的AWS S3 API密钥。”
然而,Twitter的API密钥泄露要严重得多,因为用户授权移动应用程序使用他们的Twitter账户,从而将自己也置身于应用程序所面临的风险中。此类密钥泄露也为许多可能的滥用和攻击场景创造了可能性。
报告链接:
https://cloudsek.com/whitepapers_reports/how-leaked-twitter-api-keys-can-be-used-to-build-a-bot-army/
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。