最近,网络安全研究人员发现了一组不寻常的移动应用程序,这些应用程序向公众泄露了TwitterAPI密钥。据统计,此类应用多达3200个。个人。该问题首先由网络安全公司CloudSEK发现,该公司在检查大量应用程序的数据泄露时发现大量应用程序泄露了TwitterAPI密钥。据悉,造成这种现象的主要原因是开发者在将移动应用程序与Twitter集成时,会得到一个特殊的认证密钥(或名称),让他们的移动应用程序可以与TwitterAPI进行交互。当用户将他们的Twitter帐户与移动应用程序链接时,这些密钥允许其他人代表用户执行操作,例如通过Twitter登录、创建推文、发送DM等。当攻击者设法获得这些密钥时,他们将能够作为关联的Twitter用户进行操作。建议您不要将密钥直接存储在移动应用程序中,以防止攻击者找到并使用它们。CloudSEK强调,API密钥泄露一般是应用程序开发者在开发过程中将认证密钥嵌入推特API,但事后不移除所造成的。在这些情况下,凭据存储在移动应用程序的以下位置:阅读某人的直接消息;转发和点赞;创建或删除推文;删除或添加新的关注者;访问帐户设置;更改显示图片。根据CloudSEK的说法,攻击者可以使用这些暴露的令牌来创建拥有大量追随者的Twitter“军队”,以宣传假新闻、恶意软件活动、加密货币诈骗等。易受攻击的应用程序(CloudSEK)凭证的分段存储在移动应用程序中的以下位置。resources/res/values/strings.xmlsource/resources/res/values-es-rAR/strings.xmlsource/resources/res/values-es-rCO/strings.xmlsource/sources/com/app-name/BuildConfig.javaCloudSEK建议开发人员使用API密钥轮换来保护身份验证密钥,此举可能会使暴露的密钥在几个月后失效。密钥泄露的影响是什么?从CloudSEK与BleepingComputer分享的受影响应用列表来看,这些应用的下载量普遍在5万到500万之间,主要包括城市交通伴侣、收音机调谐器、读书器、事件记录器、报纸等,电子银行应用、自行车GPS应用程序等值得注意的是,在网络安全公司CloudSEK发出警报一个月后,大多数公开暴露其API密钥的应用程序都表示,他们没有收到通知,或者泄露的密钥已得到解决。参考文章:https://www.bleepingcomputer.com/news/security/over-3-200-apps-leak-twitter-api-keys-some-allowing-account-hijacks/
