I ricercatori di CloudSEK hanno scoperto 3207 app mobile che espongono al pubblico le chiavi API di Twitter consentendo agli aggressori di accedere e prendere completamente il controllo degli account compromessi e creare un “esercito” di bot.
Tutte queste applicazioni trasmettono una Consumer Key e un Consumer Secret validi per l’API di Twitter, 230 delle quali fanno trapelare tutti e quattro gli Auth Creds dell’API e possono essere utilizzate per acquisire il controllo degli account Twitter ed eseguire una serie di azioni critiche.
Una volta acquisiti gli account gli aggressori possono leggere i messaggi, accedere alle impostazioni dell’account, rimuovere follower, ritwittare, mettere mi piace ed eliminare post.
Secondo la società di sicurezza CloudSEK la perdita di chiavi API è comunemente il risultato di errori da parte degli sviluppatori di app che incorporano le loro chiavi di autenticazione nell’API di Twitter ma si dimenticano di rimuoverle prima di distribuirle nell’ambiente di produzione.
“È fondamentale che le chiavi API non siano incorporate direttamente nel codice. Gli sviluppatori dovrebbero anche seguire in modo sicuro codifica e processi di distribuzione come: standardizzazione delle procedure di revisione…, nascondere le chiavi…, ruotare le chiavi API..”, scrivono nel report i ricercatori di CloudSEK.
I ricercatori spiegano che l’utilizzo di queste chiavi di accesso potrebbe consentire a un threat actor di creare un esercito di account Twitter con un numero elevato di follower per promuovere notizie false, campagne di malware, truffe di criptovalute, ecc.
CloudSEK ha condiviso con BleepingComputer un elenco di applicazioni colpite, con un numero di scaricamenti che va da 50.000 a 5.000.000 che includono strumenti per la pianificazione del trasporto urbano, sintonizzatori radio, lettori di libri, giornali, applicazioni di e-banking, applicazioni GPS per ciclisti e altro ancora. Non essendo stato risolto il problema per molte di queste app, l’elenco non è stato divulgato.
https://cloudsek.com/download/20147/
https://www.securityinfo.it/2022/08/02/chiavi-api-di-twitter-vulnerabili/
