Così come altre piattaforme anche Twitter mette a disposizione degli sviluppatori delle API che consentono le applicazioni di pubblicare post, inviare messaggi diretti, svolgere operazioni al posto dell’utente, pianificare attività social e via dicendo.
I ricercatori di CloudSEK hanno scoperto più di 3.200 applicazioni Android che stanno esponendo le chiavi (Consumer Key e Consumer Secret) per l’accesso alle API di Twitter.
Venendo meno alle più basilari regole di sicurezza, gli sviluppatori hanno inserito (hardcoded) tali credenziali di accesso all’interno delle loro app rendendone semplice la sottrazione da parte di chiunque provi ad analizzare il funzionamento delle applicazioni in questione.
Secondo CloudSEK i criminali informatici possono raccogliere tutte le credenziali lasciate nel sorgente delle app e servirsi di un larghissimo numero di account Twitter altrui verificati e attendibili, con un gran numero di follower, per promuovere fake news, campagne malware, lanciare attacchi phishing e porre in essere attività truffaldine.
Gli esperti di CloudSEK aggiungono che la sottrazione delle chiavi per l’utilizzo delle API di Twitter (come di altre piattaforme) è il risultato di errori commessi dagli sviluppatori delle singole app che incorporano le loro chiavi di autenticazione durante la fase di test ma dimenticano di rimuoverle quando l’applicazione viene effettivamente rilasciata.
In questi casi le credenziali vengono memorizzate all’interno delle applicazioni mobili nelle seguenti posizioni:
resources/res/values/strings.xml
source/resources/res/values-es-rAR/strings.xml
source/resources/res/values-es-rCO/strings.xml
source/sources/com/app-name/BuildConfig.java
CloudSEK consiglia agli sviluppatori di utilizzare la rotazione delle chiavi per proteggere i loro account e invalidare i dati di autenticazione precedentemente esposti.
Nella lista di app affette dal problema, tutte hanno fatto registrare tra 50mila e 5 milioni di download. L’elenco delle applicazioni non è stato diffuso perché alcuni sviluppatori non hanno ancora rilasciato versioni esenti dal problema. CloudSEK puntualizza che la scoperta non riguarda soltanto piccoli produttori ma anche aziende dal nome altisonante.