Các nhà nghiên cứu đã phát hiện 3.207 ứng dụng dành cho thiết bị di động đang để lộ khóa API Twitter, một số trong đó có thể được sử dụng để truy cập trái phép vào các tài khoản Twitter được liên kết với chúng.
Công ty bảo mật CloudSEK cho biết việc chiếm đoạt tài khoản có thể được thực hiện bằng cách sử dụng thông tin Consumer Key và Consumer Secret bị rò rỉ.
Trong số 3.207, có 230 ứng dụng bị rò rỉ cả bốn thông tin xác thực và có thể bị sử dụng để kiểm soát hoàn toàn tài khoản Twitter của nạn nhân và thực hiện bất kỳ hành động độc hại/nhạy cảm nào, bao gồm việc đọc tin nhắn trực tiếp hay thực hiện các hành động tùy ý như retweet, thích và xóa tweet, theo dõi bất kỳ tài khoản nào, xóa người theo dõi, truy cập cài đặt tài khoản và thay đổi ảnh hồ sơ tài khoản.
Để truy cập vào API Twitter yêu cầu tạo các khóa bí mật (secret keys) và các access token đóng vai trò như tên người dùng và mật khẩu cho các ứng dụng cũng như người dùng mà bạn thay mặt để thực hiện các API request.
Do đó, một tác nhân độc hại sở hữu thông tin này có thể tạo ra một nhóm bot Twitter có khả năng bị lợi dụng để phát tán thông tin sai lệch trên nền tảng mạng xã hội.
Trong một tình huống giả định, các khóa API và mã token thu được từ các ứng dụng dành cho thiết bị di động có thể được thêm vào một chương trình để thực hiện các chiến dịch phần mềm độc hại quy mô lớn thông qua các tài khoản đã được xác minh để nhắm mục tiêu đến những người theo dõi của họ.
Đáng lo ngại rằng việc rò rỉ khóa không chỉ giới hạn ở các API của Twitter. Trước đây, các nhà nghiên cứu CloudSEK đã phát hiện khóa bí mật cho các tài khoản GitHub, AWS, HubSpot và Razorpay từ các ứng dụng di động không được bảo vệ.
Để hạn chế các cuộc tấn công như vậy, bạn nên kiểm tra lại mã nguồn xem các khóa API có bị hard-coded trực tiếp hay không, đồng thời thay đổi các khóa theo định kỳ để giảm rủi ro có thể xảy ra khi bị rò rỉ.
Các nhà nghiên cứu khuyến nghị: “Sử dụng các biến (variables) môi trường để tham chiếu đến các khóa và che dấu chúng, không đặt các khóa trực tiếp trong tệp mã nguồn”.
"Các biến giúp tiết kiệm thời gian và tăng tính bảo mật. Cần lưu ý đảm bảo các tệp chứa các biến môi trường không được đưa vào mã nguồn".
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một số ứng dụng chứa phần mềm quảng cáo đang được quảng bá rầm rộ trên Facebook với hàng triệu lượt cài đặt trên cửa hàng Google Play.
Tín nhiệm mạng | Thông tin chi tiết về một lỗ hổng bảo mật trong triển khai Open Network Video Interface Forum (ONVIF) của Dahua đã được tiết lộ, khai thác thành công có thể dẫn đến việc chiếm toàn quyền kiểm soát các camera IP.
Tín nhiệm mạng | Các quản trị viên hệ thống không có nhiều thời gian để vá các lỗ hổng bảo mật đã bị tiết lộ nữa. Một báo cáo mới cho thấy các tác nhân đe dọa đang dò quét (scan) các endpoint dễ bị tấn công trong vòng 15 phút sau khi một CVE mới được tiết lộ công khai.
Tín nhiệm mạng | 30 ứng dụng Android độc hại với gần 10 triệu lượt tải xuống đã được phát hiện trên Cửa hàng Google Play có chứa phần mềm quảng cáo.
Tín nhiệm mạng | Microsoft đang thực hiện các bước để ngăn chặn các cuộc tấn công brute-force vào Giao thức truy cập máy tính từ xa (RDP) nhằm nâng cao bảo mật cho hệ điều hành Windows 11.
Tín nhiệm mạng | Twitter đã bị vi phạm dữ liệu sau khi tin tặc sử dụng một lỗ hổng bảo mật để đắnh cắp cơ sở dữ liệu chứa số điện thoại và địa chỉ email của 5,4 triệu tài khoản người dùng. Dữ liệu hiện đang được rao bán trên một diễn đàn tội phạm mạng với giá 30.000 đô.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
