Web Analytics
واتس آب ، فيسبوك ، أنترنت ، شروحات تقنية حصرية - المحترف اكتشف الباحثون ما يقرب من 3200 تطبيق للهاتف المحمول تسرّب من مفاتيح Twitter API

اكتشف الباحثون ما يقرب من 3200 تطبيق للهاتف المحمول تسرّب من مفاتيح Twitter API


كشف الباحثون عن قائمة تضم 3207 تطبيقات، يمكن استخدام بعضها للوصول غير المصرح به إلى حسابات تويتر.

قالت شركة CloudSEK للأمن السيبراني ومقرها سنغافورة في تقرير لها، إن عملية الاستحواذ أصبحت ممكنة بفضل تسريب معلومات شرعية لمفتاح المستهلك وسرية المستهلك، على التوالي.

قال الباحثون: "من أصل 3207، هناك 230 تطبيقًا يسرب بيانات اعتماد المصادقة الأربعة ويمكن استخدامها للسيطرة الكاملة على حسابات Twitter الخاصة بهم ويمكنهم تنفيذ أي إجراءات حساسة / حساسة".

يمكن أن يتراوح هذا من قراءة الرسائل المباشرة إلى تنفيذ إجراءات تعسفية مثل إعادة التغريد، وإعجاب وحذف التغريدات، ومتابعة أي حساب، وإزالة المتابعين، والوصول إلى إعدادات الحساب، وحتى تغيير صورة الملف الشخصي للحساب.

يتطلب الوصول إلى Twitter API إنشاء المفاتيح ورموز الوصول، والتي تعمل كأسماء مستخدمين وكلمات مرور للتطبيقات بالإضافة إلى المستخدمين الذين سيتم تقديم طلبات واجهة برمجة التطبيقات نيابةً عنهم.

وبالتالي، يمكن لممثل ضار يمتلك هذه المعلومات إنشاء جيش روبوت على Twitter يمكن الاستفادة منه لنشر معلومات خاطئة / مضللة على منصة التواصل الاجتماعي.

وأشار الباحثون إلى أنه "عندما يمكن استخدام عمليات الاستحواذ على الحسابات المتعددة للغناء في نفس الوقت، فإنها تكرر فقط الرسالة التي يجب صرفها".

علاوة على ذلك، في سيناريو افتراضي أوضحه CloudSEK، يمكن تضمين مفاتيح API والرموز المميزة التي تم حصادها من تطبيقات الأجهزة المحمولة في برنامج لتشغيل حملات البرامج الضارة واسعة النطاق من خلال حسابات تم التحقق منها لاستهداف متابعيهم.

بالإضافة إلى القلق، تجدر الإشارة إلى أن تسرب المفتاح لا يقتصر على واجهات برمجة تطبيقات Twitter وحدها. في الماضي ، اكتشف باحثو CloudSEK المفاتيح السرية لحسابات GitHub و AWS و HubSpot و Razorpay من تطبيقات الأجهزة المحمولة غير المحمية.

للتخفيف من مثل هذه الهجمات ، يوصى بمراجعة التعليمات البرمجية لمفاتيح API المشفرة بشكل مباشر ، بينما يتم أيضًا تدوير المفاتيح بشكل دوري للمساعدة في تقليل المخاطر المحتملة الناتجة عن التسريب.

وقال الباحثون: "المتغيرات في بيئة ما هي وسائل بديلة للإشارة إلى المفاتيح وإخفائها بصرف النظر عن عدم تضمينها في الملف المصدر".

"المتغيرات توفر الوقت وتزيد من الأمان. يجب توخي الحذر الكافي لضمان عدم تضمين الملفات التي تحتوي على متغيرات البيئة في التعليمات البرمجية المصدر."

نموذج الاتصال

الاسم

بريد إلكتروني *

رسالة *