Les chercheurs ont découvert une liste de 3 207 applications, dont certaines peuvent être utilisées pour obtenir un accès non autorisé aux comptes Twitter.
La prise de contrôle est rendue possible grâce à une fuite d’informations légitimes sur la clé du consommateur et le secret du consommateur, respectivement, société de cybersécurité basée à Singapour CloudSEK a déclaré dans un rapport exclusivement partagé avec The Hacker News.
« Sur 3 207, 230 applications fuient les quatre identifiants d’authentification et peuvent être utilisées pour prendre entièrement en charge leurs comptes Twitter et peuvent effectuer toutes les actions critiques/sensibles », ont déclaré les chercheurs.
Cela peut aller de la lecture de messages directs à la réalisation d’actions arbitraires telles que retweeter, aimer et supprimer des tweets, suivre n’importe quel compte, supprimer des abonnés, accéder aux paramètres du compte et même modifier l’image de profil du compte.
Accès à l’API Twitter a besoin générer les clés et les jetons d’accès, qui agissent comme noms d’utilisateur et mots de passe pour les applications ainsi que les utilisateurs au nom desquels les demandes d’API seront effectuées.
Un acteur malveillant en possession de ces informations peut donc créer une armée de bots Twitter qui pourrait être potentiellement exploitée pour diffuser de la més/désinformation sur la plate-forme de médias sociaux.
« Lorsque plusieurs prises de contrôle de compte peuvent être utilisées pour chanter le même air en tandem, cela ne fait que réitérer le message qui doit être déboursé », ont noté les chercheurs.
De plus, dans un scénario hypothétique expliqué par CloudSEK, les clés API et les jetons récoltés à partir des applications mobiles peuvent être intégrés dans un programme pour exécuter des campagnes de logiciels malveillants à grande échelle via des comptes vérifiés pour cibler leurs abonnés.
Ajouté à l’inquiétude, il convient de noter que la fuite de clé ne se limite pas aux seules API Twitter. Dans le passé, les chercheurs de CloudSEK ont découvert les clés secrètes des comptes GitHub, AWS, HubSpot et Razorpay à partir d’applications mobiles non protégées.
Pour atténuer de telles attaques, il est recommandé de revoir le code des clés d’API directement codées en dur, tout en alternant périodiquement les clés pour aider à réduire les risques probables encourus en cas de fuite.
« Les variables dans un environnement sont des moyens alternatifs de se référer aux clés et de les déguiser en plus de ne pas les intégrer dans le fichier source », ont déclaré les chercheurs.
« Les variables permettent de gagner du temps et d’augmenter la sécurité. Des précautions adéquates doivent être prises pour s’assurer que les fichiers contenant des variables d’environnement dans le code source ne sont pas inclus. »