chiavi-api-di-twitter:-oltre-3.200-app-le-fanno-trapelare

Chiavi API di Twitter: oltre 3.200 app le fanno trapelare

Alcuni ricercatori di cybersicurezza hanno scoperto un insieme di 3.207 app mobili che espongono al pubblico le chiavi API di Twitter.  Queste consentono a un attore potenzialmente pericoloso di prendere il controllo degli account Twitter degli utenti associati all’app.

La scoperta appartiene all’azienda di cybersicurezza CloudSEK. Dopo aver esaminato grandi set di app alla ricerca di potenziali fughe di dati, ne ha individuate 3.207 che rilasciano una Consumer Key e un Consumer Secret validi per l’API di Twitter.

Quando integrano le app mobili con Twitter, gli sviluppatori ricevono speciali chiavi di autenticazioneo token, che consentono alle loro app mobili di interagire con l’API di Twitter. 

Quando un utente associa il proprio account Twitter all’applicazione mobile, le chiavi consentono all’applicazione di agire per conto dell’utente, ad esempio di effettuare il login tramite Twittercreare tweet, inviare messaggi di posta elettronica, ecc.

L’accesso a queste chiavi di autenticazione potrebbe consentire a chiunque di eseguire azioni come utenti Twitter associati. Perciò non è mai consigliabile memorizzare le chiavi direttamente in un’app mobiledove gli attori delle minacce possono trovarle.

Fuga di chiavi API: di chi è la colpa?

CloudSEK spiega che la fuga di chiavi API è comunemente il risultato di errori da parte degli sviluppatori di app che incorporano le loro chiavi di autenticazione nell’API di Twitter ma dimenticano di rimuoverle quando il cellulare viene rilasciato.

In questi casi, le credenziali sono memorizzate all’interno delle applicazioni mobili nei seguenti punti:

  • Leggere i messaggi diretti di qualcuno
  • Eseguire retweet e like
  • Creare o eliminare tweet
  • Rimuovere o aggiungere nuovi follower
  • Accedere alle impostazioni dell’account
  • Cambiare l’immagine di visualizzazione

Qual è l’obiettivo finale?

Secondo CloudSEK, uno degli scenari più evidenti di abuso di questo accesso sarebbe l’utilizzo da parte di un attore di minacce di questi token esposti per creare un esercito di account Twitter verificati (affidabili) con un gran numero di follower per promuovere fake newscampagne di malware, truffe di criptovalute, ecc.

Non è la prima fuga di dati che subisce Twitter. Infatti, ne abbiamo parlato in un altro articolo che potete leggere qui.

CloudSEK consiglia agli sviluppatori di utilizzare la rotazione delle chiavi API per proteggere le chiavi di autenticazione, che invaliderebbe le chiavi esposte dopo alcuni mesi.

Fuga di chiavi API: chi sono le vittime colpite?

CloudSEK ha condiviso un elenco di applicazioni colpite, con applicazioni tra i 50.000 e i 5.000.000 di download, tra cui accompagnatori per il trasporto urbano, sintonizzatori radio, lettori di libri, registratori di eventi, giornali, applicazioni di e-banking, applicazioni GPS per ciclisti e altro ancora.

La maggior parte delle applicazioni che espongono pubblicamente le loro chiavi API non ha nemmeno riconosciuto di aver ricevuto gli avvisi di CloudSEK. Questo dopo un mese da quando la società di cybersicurezza le ha avvisate, e la maggior parte non ha affrontato i problemi.

Per questo motivo, non è stato divulgato l’elenco delle applicazioni che sono ancora vulnerabili allo sfruttamento e all’acquisizione di account Twitter.

Un’eccezione degna di nota è stata Ford Motors, che ha risposto e distribuito una correzione sull’app “Ford Events” che perdeva anche le chiavi API di Twitter.

Greta Kapllani

Sono una ragazza albanese con una forte passione per le lingue e ciò che la comunicazione può creare se usata in modo strategico. Nel tempo libero mi piace leggere e scrivere poesie in lingue diverse.

Scopri tutti gli articoli di Greta Kapllani

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.