研究人员发现近 3200 个移动应用程序泄露 Twitter API 密钥

Hackernews 编译，转载请注明出处：

研究人员发现了一份3207个应用程序的列表，其中一些应用程序可以用来获取未经授权的Twitter帐户访问权限。

研究人员说：“在3207个应用程序中，有230个应用程序泄漏了所有四个身份验证凭据，可用于完全接管其Twitter帐户，并执行任何关键/敏感操作。”

从阅读直接消息到执行任意操作，如转发、点赞和删除推文，关注任何帐户，删除关注者，访问帐户设置，甚至更改帐户头像。

访问Twitter API需要生成密钥和访问令牌，这些密钥和令牌充当应用程序的用户名和密码，并代表发出API请求的用户。

因此，拥有这些信息的黑客可以创建一个Twitter机器人军队，该军队可能被用来在社交媒体平台上传播错误/虚假信息。

此外，在CloudSEK解释的一个假设场景中，从移动应用程序中获取的API密钥和令牌可以嵌入到一个程序中，通过验证帐户运行大规模恶意软件活动，以锁定其追随者。

除此之外，应该注意的是，密钥泄漏不仅仅限于Twitter API。过去，CloudSEK研究人员已经从未受保护的移动应用程序中发现了GitHub、AWS、HubSpot和Razorpay帐户的密钥。

为了缓解此类攻击，建议查看代码中是否有直接硬编码的API密钥，同时定期轮换密钥，以降低泄漏可能带来的风险。

研究人员说：“环境中的变量是引用和隐藏密钥的另一种方法，而不是将它们嵌入源文件。变量可以节省时间并提高安全性，应充分注意确保源代码中不包含环境变量的文件。”

消息来源：TheHackerNews，译者：Shirley；
本文由 HackerNews.cc 翻译整理，封面来源于网络；
转载请注明“转自 HackerNews.cc ” 并附上原文