Miles de aplicaciones están filtrando claves API de Twitter, lo que brinda a los atacantes la oportunidad de hacerse cargo de estas cuentas por completo y usarlas para el robo de identidad. (se abre en una pestaña nueva) u otros tipos de fraude en línea.
Los hallazgos fueron proporcionados por el especialista en seguridad cibernética CloudSEK, quien encontró un total de 3207 aplicaciones móviles que filtraron claves de consumidor válidas y secretos de consumidor para la API de Twitter.
Varias aplicaciones móviles brindan integración con Twitter, lo que permite que estas aplicaciones realicen ciertas acciones en nombre del usuario. La integración se realiza a través de la API de Twitter con la ayuda de Consumer Keys and Secrets. Al exponer dichos datos, estas aplicaciones pueden permitir que los actores de amenazas tuiteen, envíen y lean mensajes directos o similares. En teoría, los actores de amenazas podrían reunir un “ejército” de terminales de Twitter, explicó CloudSEK. (se abre en una pestaña nueva) Esto promoverá la actividad de estafa o malware al twittear, retuitear, contactar a través de DM, etc.
millones de descargas
Estas aplicaciones incluyen aplicaciones de banca electrónica, aplicaciones de transporte urbano, sintonizadores de radio y más, con entre 50 000 y 5 millones de descargas cada una, dijeron los investigadores.
En otras palabras, lo más probable es que millones de cuentas de Twitter estén en riesgo.
Todos los propietarios de aplicaciones han sido notificados, pero la mayoría de ellos ni siquiera han reconocido haber recibido la notificación, y mucho menos solucionar el problema. Se dice que Ford es una de las compañías que soluciona rápidamente los problemas en su aplicación Ford Activity.
La lista de aplicaciones no se hará pública hasta que otras aplicaciones solucionen el problema.
Los investigadores agregaron que las fugas de API a menudo son el resultado de errores de desarrollo de aplicaciones. A veces, los desarrolladores incorporan claves de autenticación en la API de Twitter y luego se olvidan de eliminarlas.
Para evitar tales filtraciones, CloudSEK recomienda que los desarrolladores utilicen la rotación de claves API, que invalida las claves expuestas después de un período de tiempo.
vía: BleepingComputer (se abre en una pestaña nueva)