新加坡安全企業(yè)CloudSEK本周警告����,已發(fā)現(xiàn)有3,207個(gè)移動(dòng)程序外泄了Twitter API的密鑰���,可被用來訪問或接管Twitter賬號(hào)���。
新加坡安全企業(yè)CloudSEK本周警告,已發(fā)現(xiàn)有3,207個(gè)移動(dòng)程序外泄了Twitter API的密鑰�,可被用來訪問或接管Twitter賬號(hào)��。
當(dāng)開發(fā)者要于移動(dòng)程序中集成Twitter時(shí)����,必須取得特定的身份認(rèn)證密鑰以與Twitter API交互,以代替用戶登錄Twitter或執(zhí)行Twitter功能����,然而,當(dāng)CloudSEK利用該公司所開發(fā)的移動(dòng)程序安全搜索引擎BeVigil進(jìn)行分析時(shí),卻發(fā)現(xiàn)有4,810款移動(dòng)程序外泄了訪問Twitter賬號(hào)必須具備的所有密鑰��,其中的3,207個(gè)程序所外泄的密鑰都是有效的�����。
CloudSEK指出�����,Twitter API密鑰的外泄源自于這些移動(dòng)程序的安全漏洞���,它們把密鑰存放在唾手可得之處�����,于是在將程序上傳至Google Play后�,黑客只要簡(jiǎn)單地下載程序����,并將它們進(jìn)行反編譯,就能獲得API憑證�,取得大量的API密鑰與令牌,進(jìn)而部署Twitter機(jī)器人大軍�。
由于黑客等同于取得了眾多Twitter賬號(hào)的控制權(quán),因此可以用來發(fā)布不實(shí)資訊,以合法賬號(hào)執(zhí)行惡意程序攻擊��,或是傳播垃圾消息���,以及發(fā)動(dòng)網(wǎng)絡(luò)釣魚攻擊等����。
CloudSEK提醒�,開發(fā)者不應(yīng)直接將API密鑰嵌入程序代碼中,并應(yīng)遵循安全的程序代碼撰寫與部署流程���,包括標(biāo)準(zhǔn)化的程序代碼審查程序��、隱藏密鑰與輪替密鑰等�����。
立即登錄��,閱讀全文
閩公網(wǎng)安備 35010202001226號(hào)
