تقوم آلاف التطبيقات بتسريب مفاتيح Twitter API، مما يمنح المهاجمين فرصة السيطرة الكاملة على هذه الحسابات، واستخدامها لسرقة الهوية أو أنواع أخرى من الاحتيال الإلكتروني.
تأتي هذه النتائج بإذن من خبراء الأمن السيبراني CloudSEK، الذين وجدوا ما مجموعه 3207 تطبيقًا للهاتف المحمول تسريب مفاتيح مستهلك صالحة، بالإضافة إلى أسرار المستهلك، لواجهة برمجة تطبيقات Twitter.
توفر العديد من تطبيقات الأجهزة المحمولة التكامل مع Twitter، مما يسمح لتلك التطبيقات بتنفيذ إجراءات معينة بدلاً من المستخدمين. يتم التكامل من خلال Twitter API وبمساعدة مفاتيح المستهلك والأسرار. من خلال تسريب هذا النوع من البيانات، من المحتمل أن تسمح التطبيقات لممثلي التهديد بتغريد الأشياء وإرسال وقراءة الرسائل المباشرة أو ما شابه ذلك. من الناحية النظرية، توضح CloudSEK أنه يمكن لممثل التهديد أن يجمع "جيشًا" من نقاط نهاية Twitter التي من شأنها أن تروج لعملية احتيال أو حملة برمجيات خبيثة عن طريق التغريد أو إعادة التغريد أو التواصل عبر الرسائل المباشرة وما إلى ذلك.
ملايين التنزيلات
قال الباحثون إن التطبيقات المعنية تشمل تطبيقات الخدمات المصرفية الإلكترونية، وتطبيقات النقل في المدينة، وموالفات الراديو، وما شابه ذلك، ولديها ما بين 50000 إلى خمسة ملايين عملية تنزيل لكل منها.
بعبارة أخرى، فإن الملايين من حسابات Twitter معرضة للخطر على الأرجح.
تم إخطار جميع مالكي التطبيق، لكن معظمهم فشلوا في الإقرار بأنه تم إخطارهم، ناهيك عن معالجة المشكلة. فورد موتورز هي واحدة من الشركات التي أصلحت المشكلة بسرعة، على تطبيق Ford Events، كما قيل.
حتى تعمل التطبيقات الأخرى على إصلاح المشكلة، لن تكون قائمة التطبيقات عامة.
وأضاف الباحثون أن تسريبات واجهة برمجة التطبيقات عادة ما تكون نتيجة أخطاء في تطوير التطبيق. في بعض الأحيان، يقوم المطورون بتضمين مفاتيح المصادقة في Twitter API ثم ينسون إزالتها لاحقًا.
لمنع مثل هذه التسريبات، توصي CloudSEK المطورين باستخدام تدوير مفتاح API، والذي قد يجعل المفاتيح المكشوفة غير صالحة بعد مرور بعض الوقت.
تأتي هذه النتائج بإذن من خبراء الأمن السيبراني CloudSEK، الذين وجدوا ما مجموعه 3207 تطبيقًا للهاتف المحمول تسريب مفاتيح مستهلك صالحة، بالإضافة إلى أسرار المستهلك، لواجهة برمجة تطبيقات Twitter.
توفر العديد من تطبيقات الأجهزة المحمولة التكامل مع Twitter، مما يسمح لتلك التطبيقات بتنفيذ إجراءات معينة بدلاً من المستخدمين. يتم التكامل من خلال Twitter API وبمساعدة مفاتيح المستهلك والأسرار. من خلال تسريب هذا النوع من البيانات، من المحتمل أن تسمح التطبيقات لممثلي التهديد بتغريد الأشياء وإرسال وقراءة الرسائل المباشرة أو ما شابه ذلك. من الناحية النظرية، توضح CloudSEK أنه يمكن لممثل التهديد أن يجمع "جيشًا" من نقاط نهاية Twitter التي من شأنها أن تروج لعملية احتيال أو حملة برمجيات خبيثة عن طريق التغريد أو إعادة التغريد أو التواصل عبر الرسائل المباشرة وما إلى ذلك.
ملايين التنزيلات
قال الباحثون إن التطبيقات المعنية تشمل تطبيقات الخدمات المصرفية الإلكترونية، وتطبيقات النقل في المدينة، وموالفات الراديو، وما شابه ذلك، ولديها ما بين 50000 إلى خمسة ملايين عملية تنزيل لكل منها.
بعبارة أخرى، فإن الملايين من حسابات Twitter معرضة للخطر على الأرجح.
تم إخطار جميع مالكي التطبيق، لكن معظمهم فشلوا في الإقرار بأنه تم إخطارهم، ناهيك عن معالجة المشكلة. فورد موتورز هي واحدة من الشركات التي أصلحت المشكلة بسرعة، على تطبيق Ford Events، كما قيل.
حتى تعمل التطبيقات الأخرى على إصلاح المشكلة، لن تكون قائمة التطبيقات عامة.
وأضاف الباحثون أن تسريبات واجهة برمجة التطبيقات عادة ما تكون نتيجة أخطاء في تطوير التطبيق. في بعض الأحيان، يقوم المطورون بتضمين مفاتيح المصادقة في Twitter API ثم ينسون إزالتها لاحقًا.
لمنع مثل هذه التسريبات، توصي CloudSEK المطورين باستخدام تدوير مفتاح API، والذي قد يجعل المفاتيح المكشوفة غير صالحة بعد مرور بعض الوقت.