Обложка канала

Mobile AppSec World

Новости из мира безопасности мобильных приложений, а так же интересные статьи, обзоры инструментов, доклады, митапы и многое другое.

Mobile AppSec World

4 года назад
Открыть в
Исследователи CloudSEK обнаружили 3207 мобильных приложений, которые раскрывают ключи Twitter API. Нарушение потенциально позволяет злоумышленникам завладеть учетными записями пользователей Twitter для создания в армии ботов и продвижения фейковых новостей, реализации кампаний по распространению вредоносного ПО или других мошеннических действий. В рамках интеграции мобильных приложений с Twitter разработчикам предоставляются специальные ключи аутентификации или токены, которые позволят взаимодействовать с API Twitter. Ключи позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, постить твиты, отправлять DM, читать личные сообщения, управлять подписотой, а также настройками аккаунта. CloudSEK объясняет, что утечка ключей API обычно является результатом ошибок разработчиков, которые встраивают свои ключи аутентификации в API Twitter, но забывают удалить их по окончании разработки, оставляя их, как правило, в resources/res/values/strings.xml, source/resources/res/values-es-rAR/strings.xml, source/resources/res/values-es-rCO/strings.xml или source/sources/com/app-name/BuildConfig.java. Список всех уязвимых приложений не раскрывается, поскольку большинство их разработчиков спустя месяц еще не подтвердили получение уведомлений CloudSEK. Однако, по данным ресерчеров, среди них есть и имеющие от 50 000 до 5 000 000 загрузок. Исключением к настоящему моменту стала лишь компания Ford Motors, которая отреагировала и развернула исправление в приложении Ford Events, из-за которого также происходила утечка ключей API Twitter. Полагаем, что Макс одним из первых ознакомился с результаты исследования, если и вовсе не был соавтором.
How Leaked Twitter API Keys Can be Used to Build a Bot Army - CloudSEK

CloudSEK’s Attack Surface Monitoring Platform, uncovered 3207 apps,Build a Twitter Bot Armywhich can be used to Build a Twitter Bot Army, that can be utilized to gain access to or to take over Twitter accounts.

CloudSEK - Digital Risk Management Enterprise | Artificial Intelligence based Cybersecurity