A CloudSEK kiberbiztonsági kutatói 3207 olyan mobilalkalmazást fedeztek fel, amelyeken keresztül Twitter API kulcsok szivárognakm és a hiba kihasználásával egy támadó potenciálisan átveheti a felhasználók Twitter fiókjai feletti irányítást.
A mobilalkalmazások Twitterrel való integrálásakor a fejlesztők speciális hitelesítési kulcsokat vagy tokeneket kapnak, amelyek lehetővé teszik, hogy mobilalkalmazásaik kapcsolatba lépjenek a Twitter API-val. Amikor egy felhasználó összekapcsolja Twitter fiókját ezzel a mobilalkalmazással, a kulcsok lehetővé teszik az alkalmazás számára azt is, hogy a felhasználó nevében cselekedjen, például bejelentkezzen a Twitteren keresztül, tweetet hozzon létre, DM-eket küldjön stb. Mivel az ilyen hitelesítési kulcsokhoz való hozzáférés lehetővé teheti bárki számára, hogy a Twitterhez kapcsolódó felhasználóként végezzen műveleteket, soha nem ajánlott a kulcsokat közvetlenül egy mobilalkalmazásban tárolni.
A CloudSEK elmagyarázza, hogy az API kulcsok kiszivárgása általában az alkalmazásfejlesztők hibája, akik beágyazzák a hitelesítési kulcsokat a Twitter API-ba, de utána elfelejtik eltávolítani azokat.
Ezekben az esetekben a hitelesítő adatokat a mobilalkalmazásokon belül a következő helyeken tárolják:
- resources/res/res/values/strings.xml
- source/resources/res/res/values-es-rAR/strings.xml
- source/resources/res/res/values-es-rCO/strings.xml
- source/sources/com/com/app-name/BuildConfig.java
A CloudSEK azt javasolja a fejlesztőknek, hogy a hitelesítési kulcsok védelmének érdekében használják az API kulcsok rotációját.
A BleepingComputer nem hozta nyilvánosságra az alkalmazások listáját, mivel azok még mindig sebezhetők és a fejlesztők, alkalmazástulajdonosok sajnálatos módon a CloudSEK megkereséseire sem reagáltak. Az egyik figyelemre méltó kivétel a Ford Motors volt, amely reagált és javítást eszközölt a “Ford Events” alkalmazásban, amely szintén kiszivárogtatta a Twitter API kulcsokat.
