Peneliti keamanan siber telah menemukan 3.207 aplikasi seluler yang mengekspos kunci API Twitter ke publik, yang berpotensi memungkinkan aktor ancaman untuk mengambil alih akun Twitter pengguna yang terkait dengan aplikasi tersebut.
Penemuan itu milik perusahaan keamanan siber CloudSEK, yang meneliti kumpulan aplikasi besar untuk kemungkinan kebocoran data dan menemukan 3.207 aplikasi membocorkan Kunci Konsumen dan Rahasia Konsumen yang valid untuk API Twitter.
Saat mengintegrasikan aplikasi seluler dengan Twitter, pengembang akan diberikan kunci autentikasi khusus, atau token, yang memungkinkan aplikasi seluler mereka berinteraksi dengan API Twitter. Saat pengguna mengaitkan akun Twitter mereka dengan aplikasi seluler ini, tombol juga akan memungkinkan aplikasi untuk bertindak atas nama pengguna, seperti masuk melalui Twitter, membuat tweet, mengirim DM, dll.
Karena memiliki akses ke kunci autentikasi ini dapat memungkinkan siapa saja untuk melakukan tindakan sebagai pengguna Twitter terkait, tidak pernah disarankan untuk menyimpan kunci secara langsung di aplikasi seluler tempat pelaku ancaman dapat menemukannya.
Salah satu skenario penyalahgunaan akses yang paling menonjol, menurut CloudSEK, adalah pelaku ancaman menggunakan token terbuka ini untuk membuat pasukan Twitter dengan akun terverifikasi (dapat dipercaya) dengan banyak pengikut untuk mempromosikan berita palsu, kampanye malware , penipuan cryptocurrency, dll.
CloudSEK menjelaskan bahwa kebocoran kunci API biasanya disebabkan oleh kesalahan pengembang aplikasi yang menyematkan kunci autentikasi mereka di API Twitter, tetapi lupa menghapusnya saat ponsel dirilis.
Dalam kasus ini, kredensial disimpan dalam aplikasi seluler di lokasi berikut:
- resources/res/values/strings.xml
- source/resources/res/values-es-rAR/strings.xml
- source/resources/res/values-es-rCO/strings.xml
- source/sources/com/app-name/BuildConfig.java
CloudSEK merekomendasikan pengembang menggunakan rotasi kunci API untuk melindungi kunci autentikasi, yang akan membatalkan kunci yang terbuka setelah beberapa bulan.
CloudSEK membagikan daftar aplikasi yang terpengaruh dengan BleepingComputer, dengan aplikasi antara 50.000 dan 5.000.000 unduhan, termasuk pendamping transportasi kota, penyetel radio, pembaca buku, pencatat acara, surat kabar, aplikasi e-banking, aplikasi GPS bersepeda, dan banyak lagi.
Sebagian besar aplikasi yang mengekspos kunci API mereka secara publik bahkan belum mengakui menerima pemberitahuan CloudSEK setelah sebulan sejak perusahaan keamanan siber memperingatkan mereka, dan sebagian besar belum mengatasi masalah tersebut.
Satu pengecualian penting adalah Ford Motors, yang merespons dan menerapkan perbaikan pada aplikasi ‘Ford Events’ yang juga membocorkan kunci API Twitter.
Sumber: Bleeping Computer
