数以千计的APP正在泄露Twitter的API密钥

推特2年前推特网资讯520

  来自安全研究人员表示,他们已经确定共有3207个移动应用程序泄露了有效的Twitter用户密钥和密钥信息。大约230个应用程序被发现泄露了OAuth访问令牌和访问机密。

  这些信息为攻击者提供了访问用户Twitter帐户并执行各种操作的机会,包括:

  阅读信息

  代表用户转发、点赞或删除消息

  删除关注者或关注新帐户

  修改账户设置,例如修改头像

  研究人员将该问题归因于应用程序开发人员在开发过程中将身份验证凭据保存在其移动应用程序中,以便与Twitter的API进行交互。后者为第三方开发人员提供了一种将Twitter的功能和数据嵌入到他们的应用程序中的方法。

  “例如,如果一个游戏应用程序直接在你的Twitter提要上发布你的游戏积分,该功能是由Twitter API提供支持的。”CloudSEK在其调查报告中指出。CloudSEK表示,开发人员通常无法在将应用程序上传到移动应用程序商店之前删除身份验证密钥,从而使Twitter用户面临更大的风险。

  CloudSEK确定了攻击者可以滥用公开的API密钥和令牌的多种方式。例如通过将密钥嵌入到脚本中,黑客可以组建一支Twitter机器人军队来大规模传播虚假信息。研究人员警告说:“攻击者还可以使用经过验证的Twitter帐户来传播恶意软件和垃圾邮件,并进行自动化网络钓鱼攻击。”

  Salt Security研究副总裁Yaniv Balmas表示,CloudSEK发现的Twitter API问题类似于先前报告的一些API密钥泄露或暴露的实例。“但与之前大多数案例的主要区别在于,通常当API密钥暴露时,主要风险在于应用程序/供应商,例如GitHub上公开的AWS S3 API密钥。”

  然而,Twitter的API密钥泄露要严重得多,因为用户授权移动应用程序使用他们的Twitter账户,从而将自己也置身于应用程序所面临的风险中。此类密钥泄露也为许多可能的滥用和攻击场景创造了可能性。


标签: twitter app

相关文章

怎么在Twitter/X 创作有广告收入

  怎么在Twitter/X 创作有广告收入?马斯克(Elon Musk)下定决心要把 X 社交媒体平台打造成创作者的天堂,希望利用日益壮大的优质内容创作者群体作为"蜜罐",留住并...

推特会被马斯克玩死吗?

  2022 年 10 月 26 日,马斯克带着一个实体双关梗,一个“水槽”(sink),进入了推特总部,表示其拉扯了近半年的推特收购案即将完成(“let that sink in”,直译“进...

推特将冻结招聘 两名高管离职

  根据Twitter Inc. (TWTR)的一份内部通知,首席执行官Parag Agrawal周四称该公司将暂停招聘,并寻找节省成本的方法,同时还宣布两位高管将离职。  几周之前,该社交媒体平...

Twitter安卓App闪退 推特App闪退怎么解决?

最近有很多网友在百度上搜索到的推特App,安装后,出现闪退,无法正常打开或者使用Twitter,这是因为这些推特app安装包要么太旧了,要么被动手脚了,所以才会出现这种情况。那么Twitter安卓Ap...

不订阅 Twitter Blue 的 5 个理由

  如果您正在考虑订阅 Twitter Blue,这里有一些反对的理由。  自推出改进后的 Twitter Blue 以来,Twitter 收到了负面反馈。提供订阅计划是一回事,但为琐碎的津贴和影...

Twitter app没有了吗?怎么下载?

  Twitter app没有了吗?怎么下载?Twitter App已经变成另一个名称:X app。然而,X app在应用商店中的应用程序名称和外观可能会根据更新和改进而变化,但这通常是在Twit...