Miles de aplicaciones están filtrando claves API de Twitter, dando a los atacantes la oportunidad de apoderarse por completo de esas cuentas y usarlas para el robo de identidad. (se abre en una pestaña nueva) u otros tipos de fraude cibernético.
Los hallazgos son cortesía de los expertos en seguridad cibernética CloudSEK, que encontraron un total de 3207 aplicaciones móviles que filtraban claves de consumidor válidas, así como secretos de consumidor, para la API de Twitter.
Varias aplicaciones móviles ofrecen integración con Twitter, lo que les permite realizar ciertas acciones en lugar de los usuarios. La integración se realiza a través de la API de Twitter y con la ayuda de Consumer Keys and Secrets. Al filtrar este tipo de datos, las aplicaciones potencialmente permiten a los actores de amenazas twittear cosas, enviar y leer mensajes directos o similares. En teoría, explica CloudSEK, un actor de amenazas podría acumular un «ejército» de puntos finales de Twitter (se abre en una pestaña nueva) que promovería una estafa o una campaña de malware al twittear, retuitear, comunicarse a través de DM, etc.
millones de descargas
Los investigadores dijeron que las aplicaciones en cuestión incluyen aplicaciones de banca electrónica, aplicaciones de transporte urbano, sintonizadores de radio y similares, y tienen entre 50.000 y cinco millones de descargas cada una.
En otras palabras, lo más probable es que millones de cuentas de Twitter estén en riesgo.
Todos los propietarios de la aplicación han sido notificados, pero la mayoría de ellos ni siquiera reconoció haber sido notificado, y mucho menos abordar el problema. Ford Motors es una de las empresas que solucionó el problema rápidamente, en su aplicación Ford Events, se dijo.
Hasta que otras aplicaciones solucionen el problema, la lista de aplicaciones no se hará pública.
Las fugas de API, agregaron los investigadores, generalmente son el resultado de errores en el desarrollo de aplicaciones. A veces, los desarrolladores integrarán claves de autenticación en la API de Twitter y luego se olvidarán de eliminarlas.
Para evitar tales filtraciones, CloudSEK recomienda a los desarrolladores que utilicen la rotación de claves API, lo que invalidaría las claves expuestas después de un tiempo.
Vía: BleepingComputer (se abre en una pestaña nueva)