Aggiornamenti recenti Febbraio 7th, 2025 11:57 AM
Ago 02, 2022 Redazione news News, RSS, Vulnerabilità 0
Secondo CloudSEK oltre 3000 app espongono le chiavi API di Twitter al rischio di furto e dei pirati potrebbero prendere possesso degli account di chi le usa e creare un esercito di bot
BeVigil di CloudSEK, il primo motore di ricerca di sicurezza per le app mobili, ha scoperto 3207 app che fanno trapelare chiavi API di Twitter che possono essere utilizzate per accedere agli account e prenderne possesso.
Tutte queste applicazioni trasmettono una Consumer Key e un Consumer Secret validi per l’API di Twitter. 230 delle app fanno trapelare tutti e 4 gli Auth Creds dell’API e possono essere utilizzate per prendere completamente il controllo degli account Twitter ed eseguire una serie di azioni critiche.
Tra queste, leggere i messaggi diretti, ritwittare, mettere “mi piace”, rimuovere i follower del profilo, seguire qualsiasi account, ottenere le impostazioni dell’account e cambiare l’immagine del profilo.
Quando integrano le app mobili con Twitter, gli sviluppatori ricevono speciali chiavi di autenticazione, quelle citate, che consentono alle loro app di interagire con l’API di Twitter. Quando un utente associa il proprio account Twitter all’applicazione mobile, le chiavi consentono a quest’ultima di agire per conto dell’utente, svolgendo le azioni menzionate.
Secondo CloudSEK il furto di chiavi API è comunemente il risultato di errori da parte degli sviluppatori di app che incorporano le loro chiavi di autenticazione nell’API di Twitter.
Il report dichiara che l’utilizzo di queste chiavi di accesso potrebbe consentire a un pirata di creare un esercito di account Twitter con un numero elevato di follower per promuovere notizie false, campagne di malware, truffe di criptovalute, ecc.
CloudSEK ha condiviso con BleepingComputer un elenco di applicazioni colpite, con un numero di scaricamenti che va da 50.000 a 5.000.000, tra cui strumenti per la pianificazione del trasporto urbano, sintonizzatori radio, lettori di libri, giornali, applicazioni di e-banking, applicazioni GPS per ciclisti e altro ancora. Dato che per molte il problema non è stato risolto, l’elenco non è stato divulgato
Mag 28, 2024 0
Apr 25, 2024 0
Gen 31, 2024 0
Ott 19, 2023 0
Feb 07, 2025 0
Feb 06, 2025 0
Feb 05, 2025 0
Feb 04, 2025 0
Gen 30, 2025 0
Quando si parla di dati e di privacy, gli utenti si dicono...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Gen 15, 2025 0
Gli ultimi giorni dell’anno sono da sempre...Gen 08, 2025 0
Se finora l’FBI e il governo degli Stati Uniti ha...Gen 02, 2025 0
Oggi le aziende italiane non solo devono affrontare nuove e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Feb 07, 2025 0
Un bug critico e noto di Outlook è stato sfruttato...Feb 06, 2025 0
Silent Lynx, un gruppo APT di origine kazaka, è tornato...Feb 05, 2025 0
Il team di Threat Hunting della Zero Day Initiative di...Feb 04, 2025 0
Sophos ha completato l’acquisizione di Secureworks,...Feb 03, 2025 0
Meta ha annunciato di aver smantellato una campagna di...