Miles de aplicaciones filtran las claves API de Twitter, lo que brinda a los atacantes la capacidad de tomar el control total de estas cuentas y usarlas para el robo de identidad (se abre en una nueva pestaña) u otros tipos de fraude cibernético.
Los hallazgos son cortesía de los expertos en seguridad cibernética CloudSEK, quienes encontraron un total de 3207 aplicaciones móviles que filtraban claves de consumidor válidas, así como secretos de consumidor, para la API de Twitter.
Varias aplicaciones móviles ofrecen integración con Twitter, lo que les permite realizar ciertas acciones en nombre de los usuarios. La integración se realiza a través de la API de Twitter y con la ayuda de Consumer Keys and Secrets. Al revelar este tipo de datos, las aplicaciones potencialmente permiten a los actores de amenazas twittear cosas, enviar y leer mensajes directos o similares. En teoría, explica CloudSEK, un actor de amenazas podría crear un "ejército" de puntos finales de Twitter (se abre en una nueva pestaña) promoviendo una estafa o una campaña de malware twitteando, retuiteando, contactando a través de mensajes directos, etc.
миллион загрузок
Los investigadores dijeron que las aplicaciones en cuestión incluyen aplicaciones de banca en línea, aplicaciones de transporte urbano, sintonizadores de radio, etc., y cada una tiene entre 50.000 y cinco millones de descargas.
En otras palabras, lo más probable es que millones de cuentas de Twitter estén en riesgo.
Todos los propietarios de aplicaciones han sido notificados, pero la mayoría ni siquiera han reconocido haber sido notificados, y mucho menos solucionar el problema. Ford Motors es una de las empresas que resolvió el problema rápidamente, en su aplicación Ford Events, se dijo.
Hasta que otras aplicaciones resuelvan el problema, la lista de aplicaciones no se hará pública.
Las fugas de API, agregaron los investigadores, generalmente son el resultado de errores en el desarrollo de aplicaciones. A veces, los desarrolladores incorporan claves de autenticación en la API de Twitter y luego se olvidan de eliminarlas.
Para evitar tales filtraciones, CloudSEK recomienda a los desarrolladores que utilicen la rotación de claves API, lo que invalidaría las claves expuestas después de un período de tiempo.
Через: BleepingComputer (открывается в новой вкладке)