新加坡資安業者CloudSEK本周警告,已發現有3,207個行動程式外洩了Twitter API的金鑰,可被用來存取或接管Twitter帳號。

當開發者要於行動程式中整合Twitter時,必須取得特定的身分認證金鑰以與Twitter API互動,以代替使用者登入Twitter或執行Twitter功能,然而,當CloudSEK利用該公司所開發的行動程式安全搜尋引擎BeVigil進行分析時,卻發現有4,810款行動程式外洩了存取Twitter帳號必須具備的所有金鑰,其中的3,207個程式所外洩的金鑰都是有效的。

CloudSEK指出,Twitter API金鑰的外洩源自於這些行動程式的安全漏洞,它們把金鑰存放在唾手可得之處,於是在將程式上傳至Google Play後,駭客只要簡單地下載程式,並將它們進行反編譯,就能獲得API憑證,取得大量的API金鑰與令牌,進而部署Twitter機器人大軍。

由於駭客等同於取得了眾多Twitter帳號的控制權,因此可以用來張貼不實資訊,以合法帳號執行惡意程式攻擊,或是散布垃圾訊息,以及發動網釣攻擊等。

CloudSEK提醒,開發者不應直接將API金鑰嵌入程式碼中,並應遵循安全的程式碼撰寫與部署流程,包括標準化的程式碼審查程序、隱藏金鑰與輪替金鑰等。

熱門新聞

Advertisement