Des chercheurs ont découvert une liste de 3 207 applications mobiles qui exposent en clair des clés API Twitter, dont certaines peuvent être utilisées pour obtenir un accès non autorisé aux comptes Twitter qui leur sont associés.
La prise de contrôle est rendue possible grâce à une fuite des informations légitimes de la clé du consommateur et du secret du consommateur, respectivement, a déclaré la société de cybersécurité CloudSEK, basée à Singapour, dans un rapport.
« Sur 3 207, 230 apps laissent échapper les quatre informations d’authentification et peuvent être utilisées pour prendre entièrement le contrôle de leurs comptes Twitter et peuvent effectuer toute action critique/sensible « , ont déclaré les chercheurs.
Ces actions peuvent aller de la lecture de messages directs à l’exécution d’actions arbitraires telles que retweeter, aimer et supprimer des tweets, suivre n’importe quel compte, supprimer des followers, accéder aux paramètres du compte et même modifier la photo de profil du compte.
L’accès à l’API de Twitter nécessite la génération de clés secrètes et de jetons d’accès, qui servent de noms d’utilisateur et de mots de passe pour les applications ainsi que pour les utilisateurs au nom desquels les demandes d’API seront effectuées.
Un hacker en possession de ces informations peut donc créer une armée de bots Twitter qui pourrait potentiellement être exploitée pour diffuser des informations erronées/désinformées sur la plateforme.
« Lorsque plusieurs prises de contrôle de comptes peuvent être utilisées pour chanter la même chanson en tandem, cela ne fait que réitérer le message qui doit être diffusé« , notent les chercheurs.
De plus, dans un scénario hypothétique expliqué par CloudSEK, les clés API et les jetons récoltés à partir des applications mobiles peuvent être intégrés dans un programme pour lancer des logiciels malveillants à grande échelle via des comptes vérifiés afin de cibler leurs adeptes.
Pour ajouter à l’inquiétude, il convient de noter que la fuite de clés ne se limite pas aux seules API de Twitter. Par le passé, les chercheurs de CloudSEK ont découvert les clés secrètes de comptes GitHub, AWS, HubSpot et Razorpay à partir d’applications mobiles non protégées.
Pour limiter ce type d’attaque, il est recommandé de vérifier que le code ne contient pas de clés d’API directement codées en dur, et de procéder à une rotation périodique des clés afin de réduire les risques probables liés à une fuite.
« Les variables dans un environnement sont des moyens alternatifs pour se référer aux clés et les déguiser en dehors du fait de ne pas les intégrer dans le fichier source« , ont déclaré les chercheurs.
« Les variables permettent de gagner du temps et d’accroître la sécurité. Il convient de prendre des mesures adéquates pour s’assurer que les fichiers contenant des variables d’environnement ne sont pas inclus dans le code source. »