🔥 Công Ty TNHH Thẩm Mỹ Viện Auto Năm Kỹ đã đăng ký tín nhiệm. 🔥                    🔥 Công Ty TNHH Hydo đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Khuyến nông tỉnh Bạc Liêu đã đăng ký tín nhiệm. 🔥                    🔥 Ban Quản lý dự án đầu tư xây dựng các công trình dân dụng và công nghiệp TP Hồ CHí Minh đã đăng ký tín nhiệm. 🔥                    🔥 Bệnh viện Tâm thần Đà Nẵng đã đăng ký tín nhiệm. 🔥                   

Phát hiện gần 3.200 ứng dụng di động bị rò rỉ khóa API Twitter

04/08/2022

Các nhà nghiên cứu đã phát hiện 3.207 ứng dụng dành cho thiết bị di động đang để lộ khóa API Twitter, một số trong đó có thể được sử dụng để truy cập trái phép vào các tài khoản Twitter được liên kết với chúng.

Công ty bảo mật CloudSEK cho biết việc chiếm đoạt tài khoản có thể được thực hiện bằng cách sử dụng thông tin Consumer Key và Consumer Secret bị rò rỉ.

Trong số 3.207, có 230 ứng dụng bị rò rỉ cả bốn thông tin xác thực và có thể bị sử dụng để kiểm soát hoàn toàn tài khoản Twitter của nạn nhân và thực hiện bất kỳ hành động độc hại/nhạy cảm nào, bao gồm việc đọc tin nhắn trực tiếp hay thực hiện các hành động tùy ý như retweet, thích và xóa tweet, theo dõi bất kỳ tài khoản nào, xóa người theo dõi, truy cập cài đặt tài khoản và thay đổi ảnh hồ sơ tài khoản.

Để truy cập vào API Twitter yêu cầu tạo các khóa bí mật (secret keys) và các access token đóng vai trò như tên người dùng và mật khẩu cho các ứng dụng cũng như người dùng mà bạn thay mặt để thực hiện các API request.

Do đó, một tác nhân độc hại sở hữu thông tin này có thể tạo ra một nhóm bot Twitter có khả năng bị lợi dụng để phát tán thông tin sai lệch trên nền tảng mạng xã hội.

Trong một tình huống giả định, các khóa API và mã token thu được từ các ứng dụng dành cho thiết bị di động có thể được thêm vào một chương trình để thực hiện các chiến dịch phần mềm độc hại quy mô lớn thông qua các tài khoản đã được xác minh để nhắm mục tiêu đến những người theo dõi của họ.

Đáng lo ngại rằng việc rò rỉ khóa không chỉ giới hạn ở các API của Twitter. Trước đây, các nhà nghiên cứu CloudSEK đã phát hiện khóa bí mật cho các tài khoản GitHub, AWS, HubSpot và Razorpay từ các ứng dụng di động không được bảo vệ.

Để hạn chế các cuộc tấn công như vậy, bạn nên kiểm tra lại mã nguồn xem các khóa API có bị hard-coded trực tiếp hay không, đồng thời thay đổi các khóa theo định kỳ để giảm rủi ro có thể xảy ra khi bị rò rỉ.

Các nhà nghiên cứu khuyến nghị: “Sử dụng các biến (variables) môi trường để tham chiếu đến các khóa và che dấu chúng, không đặt các khóa trực tiếp trong tệp mã nguồn”.

"Các biến giúp tiết kiệm thời gian và tăng tính bảo mật. Cần lưu ý đảm bảo các tệp chứa các biến môi trường không được đưa vào mã nguồn".

Nguồn: thehackernews.com.

scrolltop