Actualités

“Comment les clés d’API Twitter divulguées peuvent être utilisées pour construire une armée de robots” : mise en lumière de vulnérabilités critiques dans les APIs Twitter !

L’API permet, sur un site Web par exemple, de pouvoir instiller un ou plusieurs aspects fonctionnels de la source originelle (code) en proposant aux internautes un bout de la fonctionnalité sans forcément aller sur la page originelle : Twitter fait partie des applications ou logiciels qui permettent de faire une extension distante de ses fonctionnalités via des APIs dédiées. Une mise en place rapide et pratique qui, dans le fond sécuritaire, ne va pas sans poser quelques soucis, notamment sur les permissions accordées ou encore la télémétrie applicable. Un sujet déjà sensible et, à nouveau, remis sur le tapis insécuritaire par l’équipe CloudSEK, au détour d’un rapport accablant…

 

 

“La plate-forme de surveillance de surface d’attaque de CloudSEK a découvert 3207 applications, des clés d’API Twitter qui fuient, qui peuvent être utilisées pour accéder ou prendre le contrôle de comptes Twitter. CloudSEK Attack Surface Monitoring Platform a découvert que 3207 applications fuyaient une clé consommateur et un secret consommateur valides. 230 applications, dont certaines sont des licornes, fuyaient les 4 Auth Creds et peuvent être utilisées pour reprendre entièrement leurs comptes Twitter afin d’effectuer des actions critiques/sensibles“, ce qui incluait :

 

  • Lire le flux principal (tout les billets),
  • Retweeter,
  • Aimer,
  • Supprimer,
  • Supprimer les abonnés,
  • S’abonner à un compte,
  • Consulter les paramètres du compte,
  • Modifier l’image de profil du compte.

 

Les Authentifications (crédentials) en question :

 

  • resources/res/values/strings.xml,
  • source/resources/res/values-es-rAR/strings.xml,
  • source/resources/res/values-es-rCO/strings.xml,
  • source/sources/com/app-name/BuildConfig.java.

 

Ces accès sont, en général et selon le rapport, non-supprimé avant le déploiement en production (vers le site public, en finalisation du site de développement) : une “erreur” qui serait imputable au développeur, est-il estimé ce qui permettrait à un individu malveillant d’y avoir accès. Le cyber-attaquant n’aurait qu’à télécharger l’application en question, la de-compiler pour avoir accès à l’ensemble, en vue éventuelle de concevoir une “armée” de bots.

Après analyse de CloudSEK avec d’autres chercheurs, il a été mis en lumière une ex-filtration, à ce niveau, assez conséquente, rien que pour les entreprises ou professionnels :

 

  • Tokens ou jetons d’API Twitter : 5 603 entreprises,
  • Tokens ou jetons secrets Twitter : 5 033 entreprises,
  • Les deux points précédents réunis : 4 810 entreprises.

 

Sur 4810, 3207 entreprises possédaient à la fois les clés comme valides. 57 de ces entreprises avaient des primes ou des abonnements d’entreprise à l’API Twitter, pour lesquels ils payaient 149 USD/mois à Twitter“, complète l’équipe sécuritaire, tout en ajoutant que pour les applications où les deux clés étaient valides (3 207), certains comptes étaient des comptes Twitter vérifiés (macaron).

De là et une fois l’API ex-filtrée, les cyber-attaques peuvent être orientées de manière diverses : phishing, spamming, malwares voire désinformation… une panoplie assez vaste qui pourra être montée en puissance en fonction du nombres de bots ainsi montés ou conçus dans ces desseins.

Pour tenter de s’en prémunir, CloudSEK préconisent quelques astuces pour les développeurs, comme la vérification (standardisée) des versions, le masquage des clés (en excluant les variables de l’environnement du code source) voire en alternant régulièrement les clés (tout les six mois par exemple)… A veiller !

 

 

 

Source :  CloudSEK – 1er Août 2022 – Twitter : vulnérabilité dans les APIs (PDF).




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-8 :-1: :+1: :) :( 8-O

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2022 - v1.12.0