Les clés de l'API Twitter sont divulguées par des milliers d'applications, ce qui donne aux attaquants la possibilité de prendre le contrôle total de ces comptes et de les utiliser pour le vol d'identité (ouvre dans un nouvel onglet) ou d'autres types de cyberfraude.
Les résultats sont une gracieuseté des experts en cybersécurité CloudSEK, qui ont trouvé un total de 3207 XNUMX applications mobiles fuyant des clés de consommation valides, ainsi que des secrets de consommation, pour l'API Twitter.
Plusieurs applications mobiles proposent une intégration avec Twitter, leur permettant d'effectuer certaines actions au nom des utilisateurs. L'intégration se fait via l'API Twitter et à l'aide de Consumer Keys and Secrets. En révélant ce type de données, les applications permettent potentiellement aux acteurs malveillants de tweeter, d'envoyer et de lire des messages directs, ou similaires. En théorie, explique CloudSEK, un acteur malveillant pourrait créer une « armée » de points de terminaison Twitter (s'ouvre dans un nouvel onglet) promouvant une campagne d'arnaque ou de malware en tweetant, en retweetant, en contactant via des messages directs, etc.
millions de téléchargements
Les chercheurs ont déclaré que les applications en question comprennent des applications bancaires en ligne, des applications de transport urbain, des tuners radio, etc., et chacune compte entre 50.000 XNUMX et cinq millions de téléchargements.
En d'autres termes, des millions de comptes Twitter sont très probablement à risque.
Tous les propriétaires d'applications ont été informés, mais la plupart n'ont même pas reconnu avoir été avertis, et encore moins résolu le problème. Ford Motors est l'une des entreprises qui a rapidement résolu le problème, sur son application Ford Events, a-t-on dit.
Jusqu'à ce que d'autres applications résolvent le problème, la liste des applications ne sera pas rendue publique.
Les fuites d'API, ont ajouté les chercheurs, sont généralement le résultat d'erreurs dans le développement d'applications. Parfois, les développeurs intègrent des clés d'authentification dans l'API Twitter, puis oublient de les supprimer.
Pour éviter de telles fuites, CloudSEK recommande aux développeurs d'utiliser la rotation des clés d'API, qui invaliderait les clés exposées après un certain temps.
Via : BleepingComputer (Ouvre dans un nouvel onglet)