セキュリティの専門家は、3,200 を超えるモバイル アプリで Twitter API キーが漏えいしていることを発見しており、攻撃者がユーザー アカウントを乗っ取る可能性があります。

開発者は Twitter API キーを介してソーシャル メディア プラットフォームに接続し、独自のアプリケーションにさまざまな機能を組み込むことができます。 たとえば、ゲーム アプリでは、ユーザーの最高得点を直接 Twitter アカウントに投稿できます。 認証は、トークンまたは Twitter API キーを使用して実行されます。

しかし、CloudSEK は、これらのキーが、セキュリティの専門知識がほとんどない開発者によって意図せずに Twitter API に残されることが多いことを発見しました。 この調査では、ダイレクト メッセージの読み取り、リツイート、いいね、削除、フォロワーの削除、アカウントのフォロー、表示写真の変更など、さまざまなデリケートなタスクを実行するために悪用される可能性があることがわかりました。

You Might Also Like
Hi-Fi RUSH コントローラーが機能しない: 修正方法は?
Hi-Fi RUSH コントローラーが機能しない: 修正方法は?
最高の安全で暗号化されたビデオ会議ソフトウェア
最高の安全で暗号化されたビデオ会議ソフトウェア
Warframe: ドリーマーの絆を入手する方法
Warframe: ドリーマーの絆を入手する方法

CloudSEK によると、3207 個のアプリが正当なコンシューマー キーとコンシューマー シークレットを公開し、悪意のあるアクターが大量のボット アカウントを作成できるようになった可能性があります。 リスクを説明する前に、Twitter のログイン エラー 7 を修正する方法を説明しているガイドを確認することをお勧めします。

セキュリティの専門家は、3,200 を超えるモバイル アプリで Twitter API キーが漏えいしていることを発見しており、攻撃者がユーザー アカウントを乗っ取る可能性があります。
開発者は Twitter API キーを介してソーシャル メディア プラットフォームに接続し、独自のアプリケーションにさまざまな機能を組み込むことができます。

3200 以上のアプリが Twitter API キーをリーク

CloudSEK は、あらゆる紛争でユーザーを守ることができる Twitter ボット軍団の構築を試みています。 しかし、インターネット上でのボット主導の偽情報戦争が最も危険かもしれません。 インターネットの発明者であるティム・バーナーズ=リーは、ほとんどの人は、ユーザーがリンクをクリックすることで利益を得るソーシャル メディア プラットフォームや検索エンジンの選択されたグループからニュースを入手するため、虚偽の情報が広まるのは簡単すぎると主張しました。 これらの Web サイトでは、アルゴリズムがユーザーが関与する可能性が最も高い情報に基づいて情報を優先することが多いため、偽のニュースが「野火のように広がる」可能性があります。

セキュリティの専門家は、3,200 を超えるモバイル アプリで Twitter API キーが漏えいしていることを発見しており、攻撃者がユーザー アカウントを乗っ取る可能性があります。
3200 以上のアプリが Twitter API キーをリーク

ただし、Twitter のハンドルは虚偽の情報を拡散するために容易に使用され、その範囲を拡大する可能性があります。 一方、詐欺や脅威は、このコミュニケーション戦略に巧みに織り込まれ、現実のものに見せかけることができます。 最近、「偽の停止通知」というフィッシング詐欺が Twitter を通じて拡散されました。

詐欺をサポートするために、確認済みのハンドルが採用されました。 さらに、2016 年の米国大統領選挙にも積極的に参加しました。 Twitter は、COVID 19 の流行に関する噂を広めるために使用されたときに、さらに多くの論争を巻き起こしました。 この問題は、他のソーシャル ネットワーキング Web サイトと同様に、単純なネットワーキングにとどまりません。

Twitter は、多くのユーザーにとって、ニュースや情報の唯一の情報源として機能するため、さらに一歩進んでいます。 メッセージは繰り返す必要があるため、多数のアカウントの乗っ取りを利用して、同じ歌を一斉に歌うことができます。

「これらの資格情報は、本番環境にデプロイする前に削除されないことがあります。 アプリがプレイ ストアにアップロードされると、API シークレットは誰でもアクセスできるようになります」と CloudSek は述べています。

セキュリティの専門家は、3,200 を超えるモバイル アプリで Twitter API キーが漏えいしていることを発見しており、攻撃者がユーザー アカウントを乗っ取る可能性があります。
3200 以上のアプリが Twitter API キーをリーク

「ハッカーはアプリをダウンロードして逆コンパイルするだけで、API クレデンシャルを取得できます。 したがって、ここから大量の API キーとトークンを収集して、Twitter ボット軍を準備できます。」

調査によると、このタイプの Twitter ボットは、次の目的で使用される可能性があります。

  • 虚偽の情報を世界中に広める
  • 大規模なマルウェア キャンペーンを実行して、侵害されたアカウントのフォロワーを感染させます
  • 投資詐欺を助長することを目的としたスパム活動を開始する
  • フィッシングを自動化して、追加のソーシャル エンジニアリングの取り組みを促進する

開発者は CloudSEK から定期的なコード レビューを実行し、ソース コード ファイルに「環境変数」が含まれていないことを確認し、Twitter API キーをローテーションするように警告されました。

セキュリティの専門家は、3,200 を超えるモバイル アプリで Twitter API キーが漏えいしていることを発見しており、攻撃者がユーザー アカウントを乗っ取る可能性があります。
3200 以上のモバイル アプリが Twitter API キーを漏らしている

Twitter のようなソーシャル ネットワーキング サイトは、リアルタイムの情報を提供することに誇りを持っているため、故意の嘘と意図しない嘘を区別するのは難しい場合があります。 したがって、ソーシャル メディア プラットフォームが虚偽の情報の伝播に使用されるのを防ぐことは非常に重要です。

ソーシャル メディア データのセキュリティと、検証済みのハンドルによる虚偽情報の拡散の防止は、企業にとって同様に重要です。 これを実現するには、安全なコードと展開の慣行に従う必要があります。 BeVigil などのツールを使用して、公開されたキーと資格情報を確認することもできます。

  Yandex.Moneyは、交通違反の罰金を自動的に支払うようになりました

Twitter の更新音をオフにする方法については、ガイドを参照してください。

Source: 3200 以上のモバイル アプリが Twitter API キーを漏らしている