Los expertos en seguridad han descubierto que más de 3200 aplicaciones móviles filtran claves API de Twitter, lo que podría permitir que los actores de amenazas se apoderen de las cuentas de los usuarios.
A través de las claves API de Twitter, los desarrolladores pueden conectarse a la plataforma de redes sociales e incluir diferentes funciones en sus propias aplicaciones. Por ejemplo, las aplicaciones de juegos pueden publicar las puntuaciones más altas de los usuarios directamente en sus cuentas de Twitter. La autenticación se realiza mediante tokens o claves API de Twitter.
Sin embargo, CloudSEK descubrió que con frecuencia desarrolladores con poca experiencia en seguridad dejaban esas claves involuntariamente en las API de Twitter. El estudio descubrió que podrían usarse indebidamente para llevar a cabo una variedad de tareas delicadas, como leer mensajes directos, retuitear, dar me gusta, borrar, eliminar seguidores, seguir cuentas y alterar fotografías de exhibición.
Según CloudSEK, 3207 aplicaciones expusieron una clave y un secreto del consumidor legítimos, lo que posiblemente permitió a actores maliciosos crear un ejército considerable de cuentas de bot. Antes de explicar los riesgos, le recomendamos que consulte nuestra guía que explica cómo solucionar el error 7 de inicio de sesión de Twitter.
Más de 3200 aplicaciones filtran claves API de Twitter
CloudSEK intenta crear un ejército de bots de Twitter que pueda defender a los usuarios en cualquier conflicto. Sin embargo, la guerra de desinformación impulsada por robots en Internet puede ser la más peligrosa. El inventor de Internet, Tim Berners-Lee, afirmó que es demasiado sencillo para que se difunda información falsa porque la mayoría de las personas obtienen sus noticias de un grupo selecto de plataformas de redes sociales y motores de búsqueda que se benefician de que los usuarios hagan clic en los enlaces. Las noticias falsas pueden “propagarse como la pólvora” en estos sitios web porque sus algoritmos con frecuencia favorecen la información basada en aquello con lo que es más probable que interactúen los usuarios.
Sin embargo, los identificadores de Twitter pueden usarse fácilmente para difundir información falsa, ampliando su alcance. Por otro lado, las estafas y las amenazas pueden integrarse hábilmente en esta estrategia de comunicación y hacerlas parecer reales. Recientemente, el fraude de phishing de “avisos de suspensión falsos” se difundió a través de Twitter.
Se emplearon identificadores verificados para respaldar el fraude. Además, participó activamente en las elecciones presidenciales estadounidenses de 2016. Twitter generó aún más controversia cuando se utilizó para difundir rumores sobre la epidemia de COVID 19. El problema va más allá de la simple creación de redes, como ocurre con cualquier sitio web de redes sociales.
Twitter va un paso más allá ya que para muchos de sus usuarios es su única fuente de noticias e información. Dado que el mensaje debe repetirse, se pueden utilizar numerosas apropiaciones de cuentas para cantar la misma canción al unísono.
“A veces, estas credenciales no se eliminan antes de implementarlas en el entorno de producción. Una vez que la aplicación se carga en Play Store, los secretos de la API están ahí para que cualquiera pueda acceder a ellos”, CloudSek. fijado.
“Un hacker puede simplemente descargar la aplicación y descompilarla para obtener las credenciales de la API. Por lo tanto, desde aquí se pueden recolectar tokens y claves API en masa para preparar el ejército de bots de Twitter”.
Este tipo de bot de Twitter, según la investigación, podría usarse para:
- Difundir información falsa en todo el mundo.
- Ejecute extensas campañas de malware para infectar a los seguidores de cuentas comprometidas.
- Iniciar operaciones de spam destinadas a fomentar el fraude en inversiones.
- Automatizar el phishing para facilitar esfuerzos adicionales de ingeniería social
CloudSEK advirtió a los desarrolladores que realizaran revisiones periódicas del código, se aseguraran de que ningún archivo de código fuente incluyera “variables de entorno” y rotaran las claves API de Twitter.
Dado que los sitios de redes sociales como Twitter se enorgullecen de brindar información en tiempo real, puede resultar difícil distinguir entre mentiras deliberadas e involuntarias. Por lo tanto, es fundamental que las plataformas de redes sociales eviten su uso para la propagación de información falsa.
La seguridad de los datos de las redes sociales y la prevención de la difusión de información falsa a través de identificadores verificados son igualmente importantes para las empresas. Y para lograrlo, se deben seguir prácticas de implementación y código seguro. También se pueden utilizar herramientas como BeVigil para comprobar si hay claves y credenciales expuestas.
También puedes aprender cómo desactivar el sonido de actualización de Twitter visitando nuestra guía.
