Исследователи кибербезопасности обнаружили набор из 3207 мобильных приложений, которые раскрывают ключи Twitter API для общественности, что потенциально позволяет злоумышленникам завладеть учетными записями пользователей Twitter, связанными с приложением.
Открытие принадлежит фирме по кибербезопасности CloudSEK, которая тщательно изучила большие наборы приложений на предмет потенциальных утечек данных и обнаружила 3207 утечек действующего ключа потребителя и секрета потребителя для Twitter API.
При интеграции мобильных приложений с Twitter разработчикам будут предоставлены специальные ключи аутентификации или токены, которые позволят их мобильным приложениям взаимодействовать с API Twitter. Когда пользователь связывает свою учетную запись Twitter с этим мобильным приложением, ключи также позволяют приложению действовать от имени пользователя, например, входить в систему через Twitter, создавать твиты, отправлять DM и т. д.
Поскольку доступ к этим ключам аутентификации может позволить любому выполнять действия в качестве связанных пользователей Twitter, никогда не рекомендуется хранить ключи непосредственно в мобильном приложении, где злоумышленники могут их найти.
