Beveiligingsexperts hebben ontdekt dat meer dan 3200 mobiele apps Twitter API-sleutels lekken, waardoor bedreigingsactoren mogelijk gebruikersaccounts kunnen overnemen.
Via Twitter API-sleutels kunnen ontwikkelaars verbinding maken met het sociale-mediaplatform en verschillende functies in hun eigen applicaties opnemen. Gaming-apps kunnen bijvoorbeeld de hoogste scores van gebruikers rechtstreeks op hun Twitter-accounts plaatsen. Authenticatie wordt uitgevoerd met behulp van tokens of Twitter API-sleutels.
CloudSEK ontdekte echter dat die sleutels vaak onbedoeld in de Twitter-API’s werden achtergelaten door ontwikkelaars met weinig beveiligingsexpertise. De studie ontdekten dat ze kunnen worden misbruikt om een verscheidenheid aan delicate taken uit te voeren, zoals het lezen van directe berichten, retweeten, liken, verwijderen, volgers verwijderen, accounts volgen en weergavefoto’s wijzigen.
Volgens CloudSEK hebben 3207 apps een legitieme Consumer Key en Consumer Secret blootgelegd, waardoor kwaadwillende actoren mogelijk een groot leger van bot-accounts konden creëren. Voordat u de risico’s uitlegt, raden we u aan onze gids te raadplegen waarin wordt uitgelegd hoe u Twitter-aanmeldingsfout 7 kunt oplossen.
Meer dan 3200 apps lekken Twitter API-sleutels
CloudSEK probeert een Twitter-botleger te bouwen dat gebruikers in elk conflict kan verdedigen. De door bots gestuurde desinformatieoorlog op internet is misschien wel de gevaarlijkste. De uitvinder van internet, Tim Berners-Lee, beweerde dat het te eenvoudig is om valse informatie te verspreiden, omdat de meeste mensen hun nieuws halen van een selecte groep sociale mediaplatforms en zoekmachines die profiteren van het klikken van gebruikers op links. Vals nieuws kan “zich als een lopend vuurtje verspreiden” op deze websites, omdat hun algoritmen vaak de voorkeur geven aan informatie op basis van wat gebruikers het meest waarschijnlijk zullen gebruiken.
De handvatten van Twitter kunnen echter gemakkelijk worden gebruikt om valse informatie te verspreiden, waardoor het bereik wordt vergroot. Aan de andere kant kunnen oplichting en bedreigingen handig in deze communicatiestrategie worden verweven en echt lijken. Onlangs werd via Twitter de phishing-fraude met ‘nep-opschortingsberichten’ verspreid.
Geverifieerde handvatten werden gebruikt om de fraude te ondersteunen. Daarnaast nam het actief deel aan de Amerikaanse presidentsverkiezingen van 2016. Twitter zorgde voor nog meer controverse toen het werd gebruikt om geruchten over de COVID 19-epidemie te verspreiden. Het probleem gaat verder dan eenvoudig netwerken, zoals bij elke sociale netwerkwebsite.
Twitter gaat een stap verder, aangezien het voor veel van zijn gebruikers dient als hun enige bron van nieuws en informatie. Omdat de boodschap moet worden herhaald, kunnen talloze accountovernames worden gebruikt om hetzelfde nummer unisono te zingen.
“Soms worden deze inloggegevens niet verwijderd voordat ze in de productieomgeving worden geïmplementeerd. Zodra de app is geüpload naar de Play Store, zijn de API-geheimen voor iedereen toegankelijk,” CloudSek verklaarde.
“Een hacker kan de app eenvoudig downloaden en decompileren om de API-inloggegevens te krijgen. Van hieruit kunnen dus bulk-API-sleutels en tokens worden verzameld om het Twitter-botleger voor te bereiden.”
Dit type Twitter-bot kan volgens het onderzoek worden gebruikt om:
- Verspreid valse informatie over de hele wereld
- Voer uitgebreide malwarecampagnes uit om volgers van gecompromitteerde accounts te infecteren
- Start spam-operaties die bedoeld zijn om investeringsfraude aan te moedigen
- Automatiseer phishing om extra social engineering-inspanningen mogelijk te maken
Ontwikkelaars werden door CloudSEK gewaarschuwd om regelmatig codebeoordelingen uit te voeren, ervoor te zorgen dat er geen broncodebestanden “omgevingsvariabelen” bevatten en Twitter API-sleutels te roteren.
Aangezien sociale netwerksites zoals Twitter trots zijn op het verstrekken van realtime informatie, kan het een uitdaging zijn om onderscheid te maken tussen opzettelijke en onopzettelijke leugens. Daarom is het van cruciaal belang voor sociale-mediaplatforms om te voorkomen dat ze worden gebruikt voor het verspreiden van valse informatie.
Beveiliging van sociale-mediagegevens en het voorkomen van de verspreiding van valse informatie via geverifieerde handvatten zijn even belangrijk voor bedrijven. En om dit te bereiken, moeten veilige code en implementatiepraktijken worden gevolgd. Tools zoals BeVigil kunnen ook worden gebruikt om te controleren op blootgestelde sleutels en inloggegevens.
U kunt ook leren hoe u Twitter-vernieuwingsgeluid uitschakelt door onze gids te bezoeken.
Source: Meer dan 3200 mobiele apps lekken Twitter API-sleutels