دانلود اپلیکیشن اندروید

میلیون‌ها اکانت توییتر به دلیل این نقص‌های امنیتی ممکن است در معرض خطر حمله قرار بگیرند

میلیون‌ها اکانت توییتر به دلیل این نقص‌های امنیتی ممکن است در معرض خطر حمله قرار بگیرند

در دنیای امروز هزاران برنامه کاربردی وجود دارند که به دلیل نقض‌های امنیتی خود، کلیدهای API پلتفرم توییتر را منتشر می‌کنند و به هکرها و افراد سودجو این فرصت را می‌دهند تا با استفاده از این موضوع بتوانند به صورتی کامل به اکانت‌های افراد مختلف دسترسی داشته باشند.

هکرها اگر به اکانت‌های گفته شده دسترسی پیدا کنند، می‌توانند از آن برای سرقت هویت یا دیگر انواع کلاهبرداری سایبری بهره ببرند. این یافته‌ها برای اولین بار توسط کارشناسان امنیت سایبری CloudSEK به دست آمده است که نشان می‌دهد در مجموع 3207 برنامه وجود دارند که Consumer Keys معتبر و همچنین Consumer Secrets تمامی APIهای توییتر را فاش می‌کنند.

برنامه‌های مختلفی را می‌توانید روی گوشی‌های هوشمند پیدا کنید که با توییتر ادغام می‌شوند و به آن برنامه‌ها اجازه می‌دهند تا اقدامات خاصی را به جای کاربر انجام دهند. ادغام از طریق API توییتر و با کمک Consumer Keys و Consumer Secrets انجام می‌شود. با افشای این نوع از داده‌ها، برنامه‌ها به صورتی کاملا اساسی به هکرها اجازه می‌دهند تا چیزهایی را توییت کنند، پیام‌هایی را برای دیگران ارسال یا پیام‌های دریافت شده را بخوانند یا حتی کارهای دیگری را انجام دهند.

CloudSEK توضیح می‌دهد که در تئوری، یک هکر می‌تواند ارتشی از اکانت‌ها را دور خودش جمع کند و یک کمپین مربوط به بدافزار را با استفاده از توییت و ریتوییت کردن، ارتباط از طریق دایرکت و مواردی دیگر رهبری کند.

برنامه‌های آسیب‌پذیر میلیون‌ها بار دانلود شده‌اند!

محققان این موسسه می‌گویند که برنامه‌های گفته شده شامل برنامه‌های بانک‌داری الکترونیکی، برنامه‌های حمل و نقل شهری، تیونرهای رادیویی و موارد مشابه هستند که هر کدام از آن‌ها بین 50 هزار تا 5 میلیون بار دانلود شده‌اند. به عبارت دیگر، میلیون‌ها اکانت توییتر به احتمال زیاد در معرض این خطر هستند.

به همه دانلودکنندگان این برنامه‌ها هشدارهای کافی داده شده است، اما اکثر آن‌ها حتی این اطلاع‌رسانی‌ها را تایید نکرده‌اند، چه رسد به رسیدگی به این مشکل گفته شده. فورد موتورز، یکی از شرکت‌هایی است که در برنامه رویدادهای فورد خود به سرعت این موضوع را برطرف کرده است و اگر این برنامه را روی گوشی خود دارید، نیازی نیست که نگران باشید.

تا زمانی که سایر برنامه‌ها مشکل را برطرف نکنند، لیست آن‌ها منتشر نخواهد شد تا هکرها با سرعت کمتری به اکانت کاربران توییتری دسترسی پیدا کنند.

محققان امنیتی همچنین اضافه کردند که نشت API معمولا نتیجه خطاهایی در توسعه برنامه است. گاهی اوقات، توسعه‌دهندگان کلیدهای احراز هویت را در API توییتر جاسازی و بعد فراموش می‌کنند که آن‌ها را حذف نمایند. برای جلوگیری از افشای چنین مواردی، CloudSEK به توسعه‌دهندگان توصیه می‌کند از چرخش کلید API استفاده کنند که بعد از مدتی کلیدهای در معرض نمایش را نامعتبر خواهد کرد.

منابع نوشته
برچسب‌ها
در بحث شرکت کنید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

 رویداد تخصصی محتوای متنی قلم