اكتشف باحثون ما يقرب من 3200 تطبيق للهاتف المحمول تسرّب من مفاتيح الوصول لبرمجية تويتر API

 كشف باحثون عن قائمة تضم 3207 تطبيقًا للهاتف المحمول تعرض مفاتيح برمجية واجهة المستخدم الخاصة بتويتر Twitter API بشكل واضح ، ويمكن استخدام بعضها للحصول على وصول غير مصرح به إلى حسابات جميع حسابات مستخدمين تويتر المرتبطة بها.

قالت شركة CloudSEK للأمن السيبراني ومقرها سنغافورة في تقرير، إن عملية الاستحواذ على حسابات تويتر المرتبطة بالتطبيقات أصبحت ممكنة بفضل تسريب معلومات شرعية لمفتاح العم و السري الخاص بالتطبيقات.

من أصل 3207 ، هناك 230 تطبيقًا يسرب بيانات اعتماد المصادقة الأربعة التابعة لواجهة برمجية تويتر ويمكن استخدامها للسيطرة الكاملة على حسابات تويتر الخاصة بالمستخدمين الذين قامو باعطاء صلاحيات وصول الى التطبيقات، حيث يمكن  تنفيذ إجراءات حساسة كنشر تغريدات على حساباتهم الخاصة.

يمكن ايضا قراءة الرسائل الخاصة و تنفيذ إجراءات تعسفية مثل إعادة التغريد ، وإعجاب وحذف التغريدات ، ومتابعة أي حساب ، وإزالة المتابعين ، والوصول إلى إعدادات الحساب ، وحتى تغيير صورة الملف الشخصي للحساب.

يتطلب الوصول إلى برمجية واجهة تويتر للمطورين API إنشاء مفاتيح سرية ورموز وصول ، والتي تعمل  كأسماء مستخدمين وكلمات مرور للتطبيقات بالإضافة إلى المستخدمين الذين سيتم ارسال طلبات واجهة برمجة التطبيقات نيابةً عنهم.

وبالتالي ، يمكن لمن يحصل على هذه المفاتيح إنشاء جيش روبوت على تويتر, ويمكن الاستفادة منه لنشر معلومات خاطئة / مضللة على منصة وسائل التواصل الاجتماعي. مثلا نشر خبر مغلوط على تويتر من خلال التحكم في حسابات المستخدمين طالما ان الشخص يمتلك مفاتيح الوصول الى هذه التطبيقات. 

يمكن ايضا تضمين مفاتيح API والرموز المميزة التي تم جمعها من تطبيقات الأجهزة المحمولة في برنامج لتشغيل حملات برامج ضارة واسعة النطاق من خلال حسابات مستخدمين تويتر تم التحقق منها (حسابات حقيقية) لاستهداف متابعيهم.

تجدر الإشارة إلى أن تسرب المفتاح لا يقتصر على واجهات برمجة تطبيقات تويتر وحدها. في الماضي ، اكتشف باحثو CloudSEK المفاتيح السرية لحسابات GitHub و AWS و HubSpot و Razorpay من تطبيقات الأجهزة المحمولة غير المحمية

للتخفيف من مثل هذه الهجمات ، يوصى بمراجعة التعليمات البرمجية لمفاتيح تطبيقات تويتر المشفرة بشكل مباشر ، بينما يتم أيضًا تدوير المفاتيح بشكل دوري للمساعدة في تقليل المخاطر المحتملة الناتجة عن التسريب.

كما يجب ايضا عدم تضمين مفايتح وصول ضمن ملفات مصادر التطبيقات.