Cybersecurity Company CloudSEK, olası veri sızıntıları için geniş bir uygulama yelpazesini inceledi ve Twitter API anahtarlarını sızdıran ve Twitter hesaplarına erişmek veya bunları ele geçirmek için kullanılabilecek 3.207 uygulama keşfetti.
Rapor, bazıları tek boynuzlu at olan 230 uygulamanın 4 Auth Cred’in tamamını sızdırdığını ve aşağıdakileri içeren kritik eylemleri gerçekleştirmek için Twitter Hesaplarını tamamen devralmak için kullanılabileceğini söylüyor:
- Direkt Mesajları Oku
- Retweetle
- Beğenmek
- Silmek
- Takipçileri kaldır
- Herhangi bir hesabı takip et
- Hesap ayarlarını al
- Ekran resmini değiştir
Twitter API’si Nasıl Çalışır?
Genel olarak, bir uygulama programlama arabirimi (API), iki veya daha fazla bilgisayar programının birbiriyle iletişim kurmasının bir yoludur. Diğer yazılım parçalarına hizmet sunan bir tür yazılım arayüzüdür.
bu Twitter API’si Twitter’da konuşmayı anlamak veya oluşturmak için kullanılabilecek bir dizi programatik uç noktadır. Bu API, Tweetler gibi çeşitli farklı kaynakları bulmaya ve almaya, bunlarla etkileşim kurmaya veya oluşturmaya olanak tanır., Kullanıcılar, boşluklar, Direkt Mesajlar, Listeler, TrendlerMedya ve Yer.
Twitter API, bir Twitter hesabına doğrudan erişim sağlar. API’ye her istekte parola göndermek verimli ve güvenli bir yöntem değildir.
Bu nedenle, OAuth belirteçleri Twitter API tarafından kullanılır. OAuth (“Açık Yetkilendirme”), her seferinde parolayı kullanmadan API erişimi vermenin bir yolu olarak yaygın olarak kullanılan erişim yetkisi için açık bir standarttır. Bu standart aynı zamanda Amazon, Google, Facebook ve Microsoft tarafından da kullanılmaktadır.
Twitter Bot Ordusu Oluşturma
Genellikle, geliştiriciler bir mobil uygulama geliştirirken test için Twitter API’sini kullanır. O zaman, kimlik bilgilerini mobil uygulama içinde aşağıdaki gibi konumlara kaydederler:
- kaynaklar/res/değerler/strings.xml
- kaynak/kaynaklar/res/değerler-es-rAR/strings.xml
- kaynak/kaynaklar/res/değerler-es-rCO/strings.xml
- source/sources/com/app-name/BuildConfig.java
Bu kimlik bilgileri, ara sıra üretim ortamında dağıtılmadan önce kaldırılmaz. Uygulama oyun mağazasına yüklendiğinde, herkesin erişebileceği API sırları oradadır.
Son olarak, bir tehdit aktörü, API kimlik bilgilerini almak için yalnızca uygulamayı indirebilir ve kaynak koda dönüştürebilir. Böylece, Twitter bot ordusunu hazırlamak için buradan toplu API anahtarları ve jetonları toplanabilir.
CloudSEK’e göre, tehdit aktörleri, sahte haberleri, kötü amaçlı yazılım kampanyalarını, kripto para dolandırıcılığını vb. tanıtmak için çok sayıda takipçisi olan doğrulanmış (güvenilir) hesaplardan oluşan bir Twitter ordusu oluşturmak için bu açık tokenleri kullanacak.
CloudSEK, etkilenen uygulamaların şehir içi ulaşım yardımcıları, radyo alıcıları, kitap okuyucular, olay kaydediciler, gazeteler, e-bankacılık uygulamaları, bisiklet GPS uygulamaları ve daha fazlası dahil olmak üzere 50.000 ila 5.000.000 indirme arasındaki uygulamaları içerdiğini söylüyor.
Saldırılardan Nasıl Korunulur?
- Gözden Geçirme Prosedürlerinin Standardize Edilmesi: Doğru versiyonlamanın yapıldığından emin olun
- Anahtarları Gizleme: Bir ortamdaki değişkenler, anahtarlara atıfta bulunmak ve onları gizlemek için alternatif araçlardır.
- API anahtarlarını döndürün: Dönen anahtarlar, sızdırılmış anahtarların oluşturduğu tehdidin azaltılmasına yardımcı olabilir
Bu nedenle, kuruluşların sosyal medya verilerini güvence altına almaları ve doğrulanmış tutamaçlarının yanlış bilgi yaymak için kullanılmasını önlemeleri çok önemlidir.
Bizi Linkedin’den takip edebilirsiniz, heyecan, Facebook günlük Siber Güvenlik ve hack haber güncellemeleri için.