Hơn 3.000 ứng dụng di động rò rỉ thông tin khóa Twitter API

13:00 | 10/08/2022 | LỖ HỔNG ATTT

Các nhà nghiên cứu vừa phát hiện một danh sách gồm 3.207 ứng dụng, trong đó, một số ứng dụng có thể được sử dụng để truy cập trái phép vào tài khoản Twitter.

Hơn 3.000 ứng dụng di động rò rỉ thông tin khóa Twitter API

Các nhà nghiên cứu cho biết: trong số 3.207, có 230 ứng dụng bị rò rỉ cả 4 thông tin xác thực và có thể được sử dụng để chiếm đoạt tài khoản Twitter của người dùng, đồng thời thực hiện nhiều hoạt động độc hại. Các hoạt động có thể thực hiện bao gồm: đọc tin nhắn trực tiếp, thực hiện các hành động tùy ý như đăng lại, thích và xóa tweet, theo dõi bất kỳ tài khoản nào, xóa người theo dõi, truy cập cài đặt tài khoản và thậm chí thay đổi ảnh hồ sơ tài khoản.

Quyền truy cập vào Twitter API yêu cầu tạo Key và Access Token, đóng vai trò tương tự như tên người dùng và mật khẩu cho các ứng dụng, cho phép thực hiện nhiều hành động trên tài khoản thông qua API này. Do đó, tin tặc sở hữu thông tin này có thể tạo ra nhiều bot Twitter để phát tán thông tin sai lệch trên nền tảng mạng xã hội.

Trong một tình huống giả định được đưa ra bởi CloudSEK (Ấn Độ), các khóa API và token thu thập được từ các ứng dụng dành cho thiết bị di động có thể được nhúng vào một chương trình. Cho phép tin tặc thực hiện các chiến dịch phần mềm độc hại quy mô lớn thông qua các tài khoản đã được xác minh để nhắm mục tiêu những người theo dõi trên tài khoản.

Phát hiện của CloudSEK cho thấy việc rò rỉ không chỉ xảy ra ở các Twitter API, mà còn xuất hiện trong các khóa bí mật cho tài khoản khoản GitHub, AWS, HubSpot và Razorpay từ các ứng dụng di động.

Để giảm thiểu các cuộc tấn công do lộ lọt thông tin gây ra, người dùng nên kiểm tra lại mã cho các khóa API được mã hóa cứng trực tiếp, đồng thời tạo các khóa định kỳ để giúp giảm rủi ro có thể xảy ra do rò rỉ.

ĐT

‹ › ×

Tin liên quan

Twitter chặn các quảng cáo liên quan tới sự kiện chiến tranh Ukraine

14:00 | 02/03/2022

Mới đây, Twitter đã tạm dừng các quảng cáo tại Nga và Ukraine, một trong các bước mà nền tảng này đang thực hiện để giảm thiểu rủi ro về thông tin liên quan đến xung đột ở Ukraine.

Chính phủ Vương quốc Anh đưa ra Hướng dẫn bảo mật cho ứng dụng dành cho thiết bị di động

10:00 | 21/12/2022

Hôm 9/12, chính phủ Vương quốc Anh vừa công bố quy tắc thực hành tự nguyện thúc giục các nhà điều hành cửa hàng ứng dụng và nhà phát triển ứng dụng nâng cấp các biện pháp bảo mật và quyền riêng tư của họ. Hướng dẫn này là kết quả của một cuộc tham vấn cộng đồng được đưa ra hồi tháng 5, với 59 phản hồi, phần lớn trong số đó là tích cực. Hướng dẫn mới sẽ được theo dõi để đảm bảo tuân thủ.

Mã khai thác lỗ hổng zero-day trên Chrome đã được công khai trên Twitter

10:00 | 26/04/2021

Trên Twitter, nhà nghiên cứu Rajvardhan Agarwal vừa công khai mã khai thác cho lỗ hổng thực thi từ xa RCE. Lỗ hổng ảnh hưởng đến các phiên bản đang lưu hành của Google Chrome và có thể trên cả một số trình duyệt khác sử dụng nền tảng Chromium như Microsoft Edge.

Ấn Độ áp luật mới lên Facebook, Twitter và YouTube

08:00 | 12/03/2021

Ấn Độ vừa ban hành các quy định mới nghiêm ngặt hơn đối với Facebook, Twitter và các nền tảng truyền thông xã hội khác sau khi Chính phủ nước này cố gắng gây áp lực để Twitter gỡ bỏ các tài khoản mà họ cho là có hành vi chống phá.

Tin cùng chuyên mục

Tấn công mạng: Hiểm họa lớn đối với các tổ chức, doanh nghiệp

08:00 | 17/04/2024

Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.

Tin tặc Mustang Panda nhắm mục tiêu vào các quốc gia châu Á với biến thể mới của PlugX

09:00 | 06/03/2024

Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.

Chiến dịch gián điệp mạng Sea Turtle nhắm mục tiêu vào các công ty của Hà Lan

13:00 | 17/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).

Lỗ hổng mới trong cảm biến vân tay cho phép kẻ tấn công vượt qua xác thực đăng nhập của Windows Hello

09:00 | 24/11/2023

Phân tích mới đây của công ty nghiên cứu bảo mật Blackwing Intelligence (Mỹ) cho biết nhiều lỗ hổng có thể bị khai thác để vượt qua xác thực Windows Hello trên máy tính xách tay Dell Inspiron 15, Lenovo ThinkPad T14 và Microsoft Surface Pro X. Các nhà nghiên cứu đã tìm ra điểm yếu trong cảm biến vân tay của Goodix, Synaptics và ELAN được nhúng vào thiết bị.