Các nhà nghiên cứu vừa phát hiện một danh sách gồm 3.207 ứng dụng, trong đó, một số ứng dụng có thể được sử dụng để truy cập trái phép vào tài khoản Twitter.
Công ty an ninh mạng CloudSEK có trụ sở tại Singapore cho biết trong một báo cáo, do việc rò rỉ của hai trường thông tin Consumer Key và Consumer Secret, việc kiểm soát một tài khoản là hoàn toàn có thể.
Các nhà nghiên cứu cho biết: “Trong số 3.207, có 230 ứng dụng bị rò rỉ cả bốn thông tin xác thực và có thể được sử dụng để chiếm đoạt tài khoản Twitter của người dùng, đồng thời thực hiện nhiều hoạt động độc hại”.
Các hoạt động có thể thực hiện bao gồm đọc tin nhắn trực tiếp, thực hiện các hành động tùy ý như đăng lại, thích và xóa tweet, theo dõi bất kỳ tài khoản nào, xóa người theo dõi, truy cập cài đặt tài khoản và thậm chí thay đổi ảnh hồ sơ tài khoản.
Quyền truy cập vào Twitter API yêu cầu tạo Key và Access Token, đóng vai trò tương tự như tên người dùng và mật khẩu cho các ứng dụng, cho phép thực hiện nhiều hành động trên tài khoản thông qua API này.
Do đó, hacker sở hữu thông tin này có thể tạo ra nhiều bot Twitter để phát tán thông tin sai lệch trên nền tảng mạng xã hội.
Trong một tình huống giả định được đưa ra bởi CloudSEK, các khóa API và token thu thập được từ các ứng dụng dành cho thiết bị di động có thể được nhúng vào một chương trình. Cho phép tin tặc chạy các chiến dịch phần mềm độc hại quy mô lớn thông qua các tài khoản đã được xác minh để nhắm mục tiêu những người theo dõi trên tài khoản.
Phát hiện của CloudSEK cho thấy việc rò rỉ không chỉ xảy ra ở các Twitter API, mà còn xuât hiện trong các khóa bí mật cho tài khoản khoản GitHub, AWS, HubSpot và Razorpay từ các ứng dụng di động.
Để giảm thiểu các cuộc tấn công do lộ lọt thông tin gây ra, người dùng nên xem lại mã cho các khóa API được mã hóa cứng trực tiếp, đồng thời tạo các khóa định kỳ để giúp giảm rủi ro có thể xảy ra do rò rỉ.
Nhà nghiên cứu kết luận: “Khi sử dụng các biến có các giá trị tham chiếu tới khóa hoặc thông tin nhạy cảm, người dùng cần sử dụng các biện pháp an ninh để tránh đưa trực tiếp các biến này vào mã nguồn“.
Theo Thehackernews