Исследователи безопасности обнаружили ошибку разработчиков в более чем 3200 мобильных приложениях, которые делают возможным полный или частичный взлом учетных записей Twitter.
В наихудших примерах, затрагивающих около 320 приложений, злоумышленник может получить полный контроль над учетной записью Twitter…
Это позволит им выполнять любое из следующих действий:
Читать прямые сообщения Ретвитнуть Нравится Удалить Удалить подписчиков Подписаться на любую учетную запись Получить настройки учетной записи Изменить отображаемое изображение
Хорошей новостью является то, что учетные записи, которые могут быть захвачены, принадлежат разработчику приложения, а не пользователю, но компания по кибербезопасности говорит, что это создает опасность армии ботов, использующих часто известные и проверенные учетные записи Twitter для распространения. дезинформация.
Армия ботов Twitter, которую мы постараемся создать, может сражаться за вас в любой войне. Но, пожалуй, самая опасная из них — это война дезинформации в Интернете, которую ведут боты. Тайм Бернерс-Ли, отец-основатель Интернета, сказал, что распространять дезинформацию слишком легко, потому что большинство людей получают новости из небольшого набора сайтов социальных сетей и поисковых систем, которые зарабатывают деньги на кликах по ссылкам. Алгоритмы этих сайтов часто отдают приоритет контенту на основе того, с чем люди могут взаимодействовать, а это означает, что фальшивые новости могут «распространяться со скоростью лесного пожара».
Еще один риск — учетные записи, используемые для продвижения мошеннических действий, таких как криптовалюты, распространенные в Твиттере.
Еще одним является потенциальное раскрытие конфиденциальной информации через получение злоумышленниками доступа к прямым сообщениям.
Bleeping Computer объясняет, как возникла проблема.
При интеграции мобильных приложений с Twitter разработчикам будут предоставлены специальные ключи аутентификации или токены, которые позволят их мобильным приложениям взаимодействовать с API Twitter. Когда пользователь связывает свою учетную запись Twitter с этим мобильным приложением, ключи также позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, создавать твиты, отправлять DM и т. д.
Поскольку доступ к этим ключам аутентификации может позволить любому выполнять действия в качестве связанных пользователей Twitter, никогда не рекомендуется хранить ключи непосредственно в мобильном приложении, где злоумышленники могут их найти.
CloudSEK объясняет, что утечка ключей API обычно является результатом ошибок разработчиков приложений, которые используют свои ключи аутентификации в API Twitter, но забывают удалить их при выпуске мобильного устройства.
Среди затронутых приложений есть несколько чрезвычайно популярных с миллионами пользователей. Названия приложений не разглашаются, так как большинство разработчиков до сих пор не исправили проблему спустя целый месяц после того, как CloudSEK предупредил их. Одно приложение было названо — Ford Events — поскольку Ford Motor Company обновила приложение, чтобы удалить учетные данные.
Фото: Джошуа Хёне/Unsplash
