Descubren 3.207 aplicaciones móviles que filtran las claves de la API de Twitter

La apropiación de cuentas incluye la lectura de mensajes directos, retuitear, dar “me gusta” y eliminar tuits, seguir cualquier cuenta, eliminar seguidores, acceder a la configuración de la cuenta e incluso cambiar la foto del perfil.

Según un informe de la empresa de ciberseguridad con sede en Singapur CloudSEK referido por The Hacker News, “de las 3.207 aplicaciones probadas, 230 filtran las cuatro credenciales de autenticación y pueden ser utilizadas para hacerse completamente con sus cuentas de Twitter y realizar cualquier acción crítica/sensible”.

El acceso a la API de Twitter requiere la creación de claves y tokens de acceso, que sirven como nombres de usuario y contraseñas tanto para las aplicaciones como para los usuarios en cuyo nombre se realizan las solicitudes de la API.

Un actor malicioso en posesión de esta información puede así crear un ejército de bots de Twitter que puede ser utilizado para difundir información errónea/desinformación en la plataforma de medios sociales. “Cuando se pueden utilizar múltiples apropiaciones de cuentas para cantar la misma melodía al unísono, esto sólo refuerza el mensaje que se quiere difundir”, observaron los investigadores.

Además, según CloudSEK, las claves API y los tokens obtenidos de las aplicaciones móviles pueden incorporarse a un programa para ejecutar campañas de malware a gran escala a través de cuentas verificadas para dirigirse a sus seguidores.

Para aumentar la preocupación, hay que señalar que la filtración de claves no se limita a las API de Twitter. Los investigadores de CloudSEK han descubierto anteriormente claves secretas de cuentas de GitHub, AWS, HubSpot y Razorpay a través de aplicaciones móviles no protegidas.

Para mitigar este tipo de ataques, se recomienda revisar el código en busca de claves API directamente incrustadas, así como rotar las claves de forma regular para ayudar a reducir los riesgos ocasionados por una filtración.

“Las variables en un entorno son un medio alternativo para referirse a las claves y ocultarlas, aparte de no incrustarlas en el archivo fuente. Las variables ahorran tiempo a la vez que aumentan la seguridad. Hay que tener cuidado de no incluir en el código fuente archivos que contengan variables de entorno”, explicaron los investigadores, citados por Hacker News.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022