DoNews 8月3日消息(劉文軒)新加坡信息安全公司CloudSEK本周警告,已發現有3207個移動應用程序外泄了Twitter API的密鑰,可被用來存取或接管Twitter帳號。
當開發者要在移動應用中整合Twitter時,必須取得特定的身分認證密鑰才能與Twitter API互動,以代替用戶登錄Twitter或執行Twitter功能,然而當CloudSEK利用該公司所開發的移動應用程序安全搜索引擎BeVigil進行分析時,卻發現有4810款應用程序外泄了存取Twitter帳號必須具備的所有密鑰,其中的3207個程序所外泄的密鑰都是有效的。
CloudSEK指出,Twitter API密鑰的外泄源自這些移動應用程序的安全漏洞,它們把密鑰存放在唾手可得之處,于是在將程序上傳至Google Play後,黑客只要簡單地下載程序,並將它們進行反編譯,就能獲得API憑證,取得大量的API密鑰與令牌,進而部署Twitter機器人。
由于黑客等同于取得了衆多Twitter帳號的控制權,因此可以用來張貼不實信息,以合法帳號執行惡意程序攻擊,或是散布垃圾信息,以及發動釣魚攻擊等。
CloudSEK提醒,開發者不應直接將API密鑰嵌入程序代碼中,並應遵循安全的程序代碼撰寫與部署流程,包括標准化的代碼審查程序、隱藏密鑰與輪替密鑰等。
本文源自iDoNews