研究人员发现近 3,200 个移动应用程序泄露 Twitter API 密钥
研究人员发现了 3,207 个移动应用程序的列表,这些应用程序公开了 Twitter API 密钥,其中一些可用于未经授权访问与其关联的 Twitter 帐户。
总部位于新加坡的网络安全公司CloudSEK 在与 The Hacker News 独家分享的一份报告中表示,由于合法的消费者密钥和消费者秘密信息分别泄露,此次收购成为可能。
研究人员说:“在 3,207 个应用程序中,有 230 个应用程序泄露了所有四个身份验证凭据,可用于完全接管其 Twitter 帐户,并可以执行任何关键/敏感操作。”
这可以从阅读直接消息到执行任意操作,例如转发、喜欢和删除推文、关注任何帐户、删除关注者、访问帐户设置,甚至更改帐户个人资料图片。
访问 Twitter API需要生成密钥和访问令牌,它们充当应用程序的用户名和密码,以及将代表其发出 API 请求的用户。
因此,拥有这些信息的恶意行为者可以创建一个 Twitter 机器人军队,可能被利用在社交媒体平台上传播错误/虚假信息。
研究人员指出:“当可以利用多个帐户接管来同时唱同一首曲子时,它只会重申需要支付的信息。”
更重要的是,在 CloudSEK 解释的假设场景中,从移动应用程序中获取的 API 密钥和令牌可以嵌入到程序中,通过经过验证的帐户运行大规模恶意软件活动,以针对他们的追随者。
值得关注的是,应该注意的是,密钥泄漏不仅限于 Twitter API。过去,CloudSEK 研究人员从未受保护的移动应用程序中发现了 GitHub、AWS、HubSpot 和 Razorpay 帐户的密钥。
为了缓解此类攻击,建议查看直接硬编码的 API 密钥的代码,同时定期轮换密钥以帮助降低泄漏带来的可能风险。
研究人员说:“环境中的变量是引用密钥并伪装它们的替代方法,除了不将它们嵌入源文件中。”
“变量可以节省时间并提高安全性。应充分注意确保不包含源代码中包含环境变量的文件。”
