Los expertos en seguridad han descubierto que más de 3200 aplicaciones móviles están filtrando claves API de Twitter, lo que podría permitir que los actores de amenazas se apoderen de las cuentas de los usuarios.
A través de las claves API de Twitter, los desarrolladores pueden conectarse a la plataforma de redes sociales e incluir diferentes funciones en sus propias aplicaciones. Por ejemplo, las aplicaciones de juegos pueden publicar las puntuaciones más altas de los usuarios directamente en sus cuentas de Twitter. La autenticación se realiza mediante tokens o claves API de Twitter.
Sin embargo, CloudSEK descubrió que los desarrolladores con poca experiencia en seguridad solían dejar esas claves sin querer en las API de Twitter. El estudio descubrió que podrían usarse indebidamente para llevar a cabo una variedad de tareas delicadas, como leer mensajes directos, retuitear, dar me gusta, eliminar, eliminar seguidores, seguir cuentas y alterar fotos de visualización.
Según CloudSEK, las aplicaciones 3207 expusieron una clave de consumidor y un secreto de consumidor legítimos, lo que posiblemente permitió a los actores maliciosos crear un ejército considerable de cuentas de bots. Antes de explicar los riesgos, le recomendamos que consulte nuestra guía que explica cómo corregir el error de inicio de sesión de Twitter 7.
Más de 3200 aplicaciones filtran claves API de Twitter
CloudSEK intenta construir un ejército de bots de Twitter que pueda defender a los usuarios en cualquier conflicto. Sin embargo, la guerra de desinformación impulsada por bots en Internet puede ser la más peligrosa. El inventor de Internet, Tim Berners-Lee, afirmó que es demasiado simple para difundir información falsa porque la mayoría de las personas obtienen sus noticias de un grupo selecto de plataformas de redes sociales y motores de búsqueda que se benefician de los usuarios que hacen clic en los enlaces. Las noticias falsas pueden “propagarse como un reguero de pólvora” en estos sitios web porque sus algoritmos suelen favorecer la información basada en aquello con lo que es más probable que interactúen los usuarios.
Sin embargo, los identificadores de Twitter pueden usarse fácilmente para difundir información falsa, ampliando su alcance. Por otro lado, las estafas y las amenazas se pueden entretejer hábilmente en esta estrategia de comunicación y hacer que parezcan reales. Recientemente, el fraude de phishing de “avisos de suspensión falsos” se difundió a través de Twitter.
Se emplearon identificadores verificados para respaldar el fraude. Además, participó activamente en las elecciones presidenciales de Estados Unidos de 2016. Twitter generó aún más controversia cuando se utilizó para difundir rumores sobre la epidemia de COVID 19. El problema va más allá de la simple creación de redes, como ocurre con cualquier sitio web de redes sociales.
Twitter va un paso más allá ya que para muchos de sus usuarios es su única fuente de noticias e información. Dado que el mensaje debe repetirse, se pueden utilizar numerosas adquisiciones de cuentas para cantar la misma canción al unísono.
“A veces, estas credenciales no se eliminan antes de implementarlas en el entorno de producción. Una vez que la aplicación se carga en Play Store, los secretos de la API están ahí para que cualquiera pueda acceder”, afirmó CloudSek.
“Un hacker puede simplemente descargar la aplicación y descompilarla para obtener las credenciales de la API. Por lo tanto, desde aquí se pueden recolectar tokens y claves API masivas para preparar el ejército de bots de Twitter”.
Este tipo de bot de Twitter, según la investigación, podría usarse para:
- Difundir información falsa en todo el mundo
- Ejecute extensas campañas de malware para infectar a los seguidores de las cuentas comprometidas
- Iniciar operaciones de spam destinadas a fomentar el fraude de inversiones
- Automatice el phishing para facilitar esfuerzos adicionales de ingeniería social
CloudSEK advirtió a los desarrolladores que realizaran revisiones periódicas del código, se aseguraran de que ningún archivo de código fuente incluyera “variables de entorno” y rotaran las claves API de Twitter.
Dado que los sitios de redes sociales como Twitter se enorgullecen de brindar información en tiempo real, puede ser difícil distinguir entre mentiras deliberadas y no intencionales. Por lo tanto, es crucial que las plataformas de redes sociales eviten su uso en la propagación de información falsa.
La seguridad de los datos de las redes sociales y la prevención de la difusión de información falsa a través de identificadores verificados son igualmente importantes para las empresas. Y para lograr esto, se deben seguir prácticas seguras de código e implementación. Herramientas como BeVigil también se pueden usar para verificar si hay claves y credenciales expuestas.
También puede aprender cómo desactivar el sonido de actualización de Twitter visitando nuestra guía.
Source: Más de 3200 aplicaciones móviles están filtrando claves API de Twitter
