新加坡安全企业CloudSEK本周警告,已发现有3,207个移动程序外泄了Twitter API的密钥,可被用来访问或接管Twitter账号。
当开发者要于移动程序中集成Twitter时,必须取得特定的身份认证密钥以与Twitter API交互,以代替用户登录Twitter或执行Twitter功能,然而,当CloudSEK利用该公司所开发的移动程序安全搜索引擎BeVigil进行分析时,却发现有4,810款移动程序外泄了访问Twitter账号必须具备的所有密钥,其中的3,207个程序所外泄的密钥都是有效的。
CloudSEK指出,Twitter API密钥的外泄源自于这些移动程序的安全漏洞,它们把密钥存放在唾手可得之处,于是在将程序上传至Google Play后,黑客只要简单地下载程序,并将它们进行反编译,就能获得API凭证,取得大量的API密钥与令牌,进而部署Twitter机器人大军。
由于黑客等同于取得了众多Twitter账号的控制权,因此可以用来发布不实资讯,以合法账号执行恶意程序攻击,或是传播垃圾消息,以及发动网络钓鱼攻击等。
CloudSEK提醒,开发者不应直接将API密钥嵌入程序代码中,并应遵循安全的程序代码撰写与部署流程,包括标准化的程序代码审查程序、隐藏密钥与轮替密钥等。