近日，網(wǎng)絡(luò)安全研究人員發(fā)現(xiàn)一組異常的移動(dòng)應(yīng)用程序，這些應(yīng)用程序向民眾公開了 Twitter API 密鑰，據(jù)統(tǒng)計(jì)，此類應(yīng)用程序多達(dá) 3200 個(gè)。

網(wǎng)絡(luò)安全公司 CloudSEK 首次發(fā)現(xiàn)了這一問題，該公司在檢查大型應(yīng)用程序集合是否存在數(shù)據(jù)泄漏時(shí)，發(fā)現(xiàn)了大量應(yīng)用程序泄露了 Twitter  API 密鑰。

據(jù)悉，造成這一現(xiàn)象的主要原因是開發(fā)者在整合移動(dòng)應(yīng)用與 Twitter 時(shí)，會(huì)得到一個(gè)特殊的認(rèn)證密鑰（或稱），允許其移動(dòng)應(yīng)用與 Twitter  API 交互。當(dāng)用戶使其 Twitter賬戶與移動(dòng)應(yīng)用聯(lián)系起來時(shí)，這些密鑰允許其他人代表用戶行事，例如通過 Twitter 登錄，創(chuàng)建推文，發(fā)送 DM 等。

當(dāng)攻擊者設(shè)法得到這些密鑰后，就能夠以關(guān)聯(lián)的 Twitter 用戶身份進(jìn)行操作，建議大家不要將密鑰直接存儲(chǔ)在移動(dòng)應(yīng)用中，避免攻擊者找到并利用它們。

CloudSEK 強(qiáng)調(diào)，API 密鑰泄漏一般是應(yīng)用程序開發(fā)人員造成的，他們?cè)陂_發(fā)過程中將認(rèn)證密鑰嵌入到 Twitter API 中，但是之后并未刪除。

在這些情況下，憑據(jù)存儲(chǔ)在以下位置的移動(dòng)應(yīng)用程序中：

• 閱讀某人的直接消息；
• 進(jìn)行轉(zhuǎn)發(fā)和點(diǎn)贊；
• 創(chuàng)建或刪除推文；
• 刪除或添加新關(guān)注者；
• 訪問帳戶設(shè)置；
• 更改顯示圖片。

據(jù) CloudSEK 稱，攻擊者可以使用這些暴露的令牌創(chuàng)建一個(gè)擁有大量粉絲的 Twitter “大軍”，以宣傳虛假新聞、惡意軟件活動(dòng), 加密貨幣詐騙等。

易受攻擊的應(yīng)用程序的細(xì)分 (CloudSEK)

憑證被存儲(chǔ)在移動(dòng)應(yīng)用程序中的以下位置。

• resources/res/values/strings.xml
• source/resources/res/values-es-rAR/strings.xml
• source/resources/res/values-es-rCO/strings.xml
• source/sources/com/app-name/BuildConfig.java

CloudSEK 建議開發(fā)人員使用  API  密鑰輪換來保護(hù)身份驗(yàn)證密鑰，此舉可以使暴露的密鑰在幾個(gè)月后失效。

密鑰泄露產(chǎn)生那些影響？

從 CloudSEK 分享給 BleepingComputer 的受影響應(yīng)用程序清單來看，這些應(yīng)用程序的下載量普遍在 5 萬到 500 萬之間，其中主要包括城市交通伴侶、廣播調(diào)諧器、圖書閱讀器、事件記錄器、報(bào)紙、電子銀行應(yīng)用、自行車 GPS 應(yīng)用等。

值得一提的是，在網(wǎng)絡(luò)安全公司 CloudSEK 發(fā)出警報(bào)一個(gè)月后，大多數(shù)公開暴露 API密鑰的應(yīng)用程序表示沒有收到任何通知，也沒有解決密鑰泄露問題。

參考文章：https://www.bleepingcomputer.com/news/security/over-3-200-apps-leak-twitter-api-keys-some-allowing-account-hijacks/