I ricercatori di CloudSEK hanno scoperto oltre 3.200 app che potrebbero essere utilizzare per accedere agli account di Twitter e creare un’armata di bot. Queste app espongono pubblicamente le chiavi di autenticazione che consentono di prendere il controllo degli account ed eseguire una serie di azioni per conto degli ignari utenti. In questo caso serve a poco una soluzione di sicurezza, ma è sempre consigliato l’uso per proteggere i dati personali e le credenziali di login.
Esercito di bot con gli account Twitter
Gli sviluppatori di app usano le API di Twitter per accedere alle funzionalità del social network, sfruttando i quattro metodi di autenticazione (singolarmente o insieme): Consumer Key, Consumer Secret, Access Token e Access Secret. Durante i test delle app, le chiavi di autenticazione o token vengono salvate nel codice. I ricercatori di CloudSEK hanno scoperto che le chiavi non sono state rimosse da 3.207 app, prima della pubblicazione sugli store di Apple e Google.
Un malintenzionato potrebbe scaricare le app e recuperare le chiavi. Ciò permette di accedere agli account Twitter degli utenti che hanno installato le app sul dispositivo e di eseguire una serie di azioni: leggere i messaggi diretti, mettere like, cancellare i tweet, effettuare i retweet, rimuovere i follower, seguire qualsiasi account e cambiare le impostazioni.
In pratica sarebbe possibile creare un esercito di bot per diffondere fake news, distribuire malware, effettuare truffe di vario genere e inviare email o SMS di phishing per rubare informazioni personali. CloudSEK non ha ovviamente comunicato i nomi delle app, alcune delle quali con oltre 5 milioni di download. Solo Ford Motors ha confermato (e risolto) il problema di sicurezza nell’app Ford Events.