Twitter: 3.200 app possono creare un'armata di bot

Twitter: 3.200 app possono creare un'armata di bot

I ricercatori di CloudSEK hanno scoperto in 3.207 app la presenza delle chiavi di autenticazione che permettono di accedere agli account Twitter.
Twitter: 3.200 app possono creare un'armata di bot
I ricercatori di CloudSEK hanno scoperto in 3.207 app la presenza delle chiavi di autenticazione che permettono di accedere agli account Twitter.

I ricercatori di CloudSEK hanno scoperto oltre 3.200 app che potrebbero essere utilizzare per accedere agli account di Twitter e creare un’armata di bot. Queste app espongono pubblicamente le chiavi di autenticazione che consentono di prendere il controllo degli account ed eseguire una serie di azioni per conto degli ignari utenti. In questo caso serve a poco una soluzione di sicurezza, ma è sempre consigliato l’uso per proteggere i dati personali e le credenziali di login.

Esercito di bot con gli account Twitter

Gli sviluppatori di app usano le API di Twitter per accedere alle funzionalità del social network, sfruttando i quattro metodi di autenticazione (singolarmente o insieme): Consumer Key, Consumer Secret, Access Token e Access Secret. Durante i test delle app, le chiavi di autenticazione o token vengono salvate nel codice. I ricercatori di CloudSEK hanno scoperto che le chiavi non sono state rimosse da 3.207 app, prima della pubblicazione sugli store di Apple e Google.

Un malintenzionato potrebbe scaricare le app e recuperare le chiavi. Ciò permette di accedere agli account Twitter degli utenti che hanno installato le app sul dispositivo e di eseguire una serie di azioni: leggere i messaggi diretti, mettere like, cancellare i tweet, effettuare i retweet, rimuovere i follower, seguire qualsiasi account e cambiare le impostazioni.

In pratica sarebbe possibile creare un esercito di bot per diffondere fake news, distribuire malware, effettuare truffe di vario genere e inviare email o SMS di phishing per rubare informazioni personali. CloudSEK non ha ovviamente comunicato i nomi delle app, alcune delle quali con oltre 5 milioni di download. Solo Ford Motors ha confermato (e risolto) il problema di sicurezza nell’app Ford Events.

Fonte: CloudSEK
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
2 ago 2022
Link copiato negli appunti