新加坡安全企业cloudsek本周警告,已发现有3,207个移动程序外泄了twitter api的密钥,可被用来访问或接管twitter账号。
当开发者要于移动程序中集成twitter时,必须取得特定的身份认证密钥以与twitter api交互,以代替用户登录twitter或执行twitter功能,然而,当cloudsek利用该公司所开发的移动程序安全搜索引擎bevigil进行分析时,却发现有4,810款移动程序外泄了访问twitter账号必须具备的所有密钥,其中的3,207个程序所外泄的密钥都是有效的。
cloudsek指出,twitter api密钥的外泄源自于这些移动程序的安全漏洞,它们把密钥存放在唾手可得之处,于是在将程序上传至google play后,黑客只要简单地下载程序,并将它们进行反编译,就能获得api凭证,取得大量的api密钥与令牌,进而部署twitter机器人大军。
由于黑客等同于取得了众多twitter账号的控制权,因此可以用来发布不实资讯,以合法账号执行恶意程序攻击,或是传播垃圾消息,以及发动网络钓鱼攻击等。
cloudsek提醒,开发者不应直接将api密钥嵌入程序代码中,并应遵循安全的程序代码撰写与部署流程,包括标准化的程序代码审查程序、隐藏密钥与轮替密钥等。