Mais de 3.200 aplicativos móveis estão vazando chaves de API do Twitter

Mais de 3.200 aplicativos móveis foram encontrados por especialistas em segurança como vazando chaves de API do Twitter, potencialmente permitindo que os agentes de ameaças assumam as contas dos usuários.

Por meio das chaves da API do Twitter, os desenvolvedores podem se conectar à plataforma de mídia social e incluir diferentes recursos em seus próprios aplicativos. Por exemplo, aplicativos de jogos podem postar as pontuações mais altas dos usuários diretamente em suas contas do Twitter. A autenticação é realizada usando tokens ou chaves de API do Twitter.

No entanto, o CloudSEK descobriu que essas chaves eram frequentemente deixadas involuntariamente nas APIs do Twitter por desenvolvedores com pouca experiência em segurança. O estudo descobriram que eles podem ser usados indevidamente para realizar uma variedade de tarefas delicadas, como ler mensagens diretas, retweetar, curtir, excluir, remover seguidores, seguir contas e alterar fotos de exibição.

De acordo com o CloudSEK, 3207 aplicativos expuseram uma chave de consumidor e um segredo de consumidor legítimos, possivelmente permitindo que atores mal-intencionados criassem um exército considerável de contas de bots. Antes de explicar os riscos, recomendamos que você confira nosso guia explicando como corrigir o erro de login do Twitter 7.

Mais de 3.200 aplicativos móveis foram encontrados por especialistas em segurança como vazando chaves de API do Twitter, potencialmente permitindo que os agentes de ameaças assumam as contas dos usuários. — Por meio das chaves da API do Twitter, os desenvolvedores podem se conectar à plataforma de mídia social e incluir diferentes recursos em seus próprios aplicativos.

Mais de 3.200 aplicativos vazam chaves de API do Twitter

CloudSEK tenta construir um exército de bots no Twitter que possa defender os usuários em qualquer conflito. No entanto, a guerra de desinformação conduzida por bots na internet pode ser a mais perigosa. O inventor da internet, Tim Berners-Lee, afirmou que é muito simples que informações falsas se espalhem porque a maioria das pessoas obtém suas notícias de um seleto grupo de plataformas de mídia social e mecanismos de busca que lucram com os usuários clicando em links. As notícias falsas podem “se espalhar como fogo” nesses sites porque seus algoritmos frequentemente favorecem informações com base no que os usuários têm mais probabilidade de se envolver.

No entanto, as alças do Twitter podem ser prontamente usadas para espalhar informações falsas, expandindo seu alcance. Por outro lado, golpes e ameaças podem ser habilmente integrados a essa estratégia de comunicação e fazer com que pareçam reais. Recentemente, a fraude de phishing de “avisos de suspensão falsos” foi espalhada pelo Twitter.

Alças verificadas foram empregadas para apoiar a fraude. Além disso, participou ativamente das eleições presidenciais dos EUA em 2016. O Twitter gerou ainda mais polêmica quando foi usado para divulgar rumores sobre a epidemia de COVID 19. O problema vai além do simples networking, como em qualquer site de rede social.

O Twitter vai um passo além, pois para muitos de seus usuários, ele serve como sua única fonte de notícias e informações. Como a mensagem precisa ser repetida, várias aquisições de contas podem ser utilizadas para cantar a mesma música em uníssono.

“Às vezes, essas credenciais não são removidas antes de implantá-las no ambiente de produção. Depois que o aplicativo é carregado na Play Store, os segredos da API estão lá para qualquer um acessar”, CloudSek declarado.

“Um hacker pode simplesmente baixar o aplicativo e descompilá-lo para obter as credenciais da API. Assim, a partir daqui, chaves e tokens de API em massa podem ser colhidos para preparar o exército de bots do Twitter.”

Esse tipo de bot do Twitter, de acordo com a pesquisa, pode ser usado para:

Espalhe informações falsas em todo o mundo
Execute extensas campanhas de malware para infectar seguidores de contas comprometidas
Iniciar operações de spam destinadas a incentivar fraudes em investimentos
Automatize o phishing para facilitar esforços adicionais de engenharia social

Os desenvolvedores foram alertados pelo CloudSEK para realizar revisões regulares de código, garantir que nenhum arquivo de código-fonte inclua “variáveis de ambiente” e alternar as chaves da API do Twitter.

Como sites de redes sociais como o Twitter se orgulham de fornecer informações em tempo real, pode ser um desafio distinguir entre mentiras deliberadas e não intencionais. Portanto, é crucial que as plataformas de mídia social impeçam seu uso na propagação de informações falsas.

A segurança dos dados de mídia social e a prevenção da disseminação de informações falsas por meio de identificadores verificados são igualmente importantes para as empresas. E para conseguir isso, o código seguro e as práticas de implantação devem ser seguidas. Ferramentas como o BeVigil também podem ser usadas para verificar chaves e credenciais expostas.

Você também pode aprender como desativar o som de atualização do Twitter visitando nosso guia.

Source: Mais de 3.200 aplicativos móveis estão vazando chaves de API do Twitter

Mais de 3.200 aplicativos móveis estão vazando chaves de API do Twitter

Mais de 3.200 aplicativos vazam chaves de API do Twitter

Related Stories

Blue Origin e NASA entram em conflito sobre o cronograma de reparo da plataforma de lançamento de New Glenn

Asus apresenta novos laptops Zenbook e ExpertBook na Computex

Pixel Watch 5 não anunciado supostamente encontrado por mergulhador no Mar do Caribe

Spotify pode permitir que usuários editem nomes de usuários e adicionem biografias de perfis