数以千计的APP正在泄露Twitter的API密钥

admin 2022年8月5日00:05:26评论39 views字数 1039阅读3分27秒阅读模式

关注我们

带你读懂网络安全

数以千计的APP正在泄露Twitter的API密钥




来自印度CloudSEK的安全研究人员表示,他们已经确定共有3207个移动应用程序泄露了有效的Twitter用户密钥和密钥信息。大约230个应用程序被发现泄露了OAuth访问令牌和访问机密。




这些信息为攻击者提供了访问用户Twitter帐户并执行各种操作的机会,包括:


  • 阅读信息

  • 代表用户转发、点赞或删除消息

  • 删除关注者或关注新帐户

  • 修改账户设置,例如修改头像


研究人员将该问题归因于应用程序开发人员在开发过程中将身份验证凭据保存在其移动应用程序中,以便与Twitter的API进行交互。后者为第三方开发人员提供了一种将Twitter的功能和数据嵌入到他们的应用程序中的方法。


“例如,如果一个游戏应用程序直接在你的Twitter提要上发布你的游戏积分,该功能是由Twitter API提供支持的。”CloudSEK在其调查报告中指出。CloudSEK表示,开发人员通常无法在将应用程序上传到移动应用程序商店之前删除身份验证密钥,从而使Twitter用户面临更大的风险。


CloudSEK确定了攻击者可以滥用公开的API密钥和令牌的多种方式。例如通过将密钥嵌入到脚本中,黑客可以组建一支Twitter机器人军队来大规模传播虚假信息。研究人员警告说:“攻击者还可以使用经过验证的Twitter帐户来传播恶意软件和垃圾邮件,并进行自动化网络钓鱼攻击。”


Salt Security研究副总裁Yaniv Balmas表示,CloudSEK发现的Twitter API问题类似于先前报告的一些API密钥泄露或暴露的实例。“但与之前大多数案例的主要区别在于,通常当API密钥暴露时,主要风险在于应用程序/供应商,例如GitHub上公开的AWS S3 API密钥。”


然而,Twitter的API密钥泄露要严重得多,因为用户授权移动应用程序使用他们的Twitter账户,从而将自己也置身于应用程序所面临的风险中。此类密钥泄露也为许多可能的滥用和攻击场景创造了可能性。


报告链接:

https://cloudsek.com/whitepapers_reports/how-leaked-twitter-api-keys-can-be-used-to-build-a-bot-army/



推荐阅读




文章来源:GoUpSec


点击下方卡片关注我们,
带你一起读懂网络安全 ↓


原文始发于微信公众号(安全内参):数以千计的APP正在泄露Twitter的API密钥

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年8月5日00:05:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   数以千计的APP正在泄露Twitter的API密钥http://cn-sec.com/archives/1222886.html

发表评论

匿名网友 填写信息