Lebih Dari 3.200 Aplikasi Seluler Membocorkan Kunci APi Twitter
ilustrasi
Cyberthreat.id – Peneliti dari perusahaan keamanan siber CloudSEK, menemukan bahwa 3.207 aplikasi seluler yang mengekspos kunci API Twitter ke public. Hal ini memungkinkan actor ancaman untuk mengambil alih akun Twitter pengguna yang terkait dengan aplikasi tersebut.
Dikutip dari Bleeping Computer, para peneliti menemukan kebocoran ini saat meneliti kumpulan aplikasi besar yang kemungkinan mengalami kebocoran data, dan membocorkan Kunci dan Rahasia Konsumen yang valid untuk API Twitter.
Peneliti mengatakan, saat mengintegrasikan aplikasi seluler dengan Twitter, pengembang akan diberikan kunci autentikasi khusus, atau token, yang memungkinkan aplikasi seluler mereka berinteraksi dengan API Twitter. Saat pengguna mengaitkan akun Twitter mereka dengan aplikasi seluler ini, tombol tersebut juga akan memungkinkan aplikasi untuk bertindak atas nama pengguna, seperti masuk melalui Twitter, membuat tweet, mengirim DM, dll.
“Karena memiliki akses ke kunci autentikasi ini dapat memungkinkan siapa saja untuk melakukan tindakan sebagai pengguna Twitter terkait, tidak pernah disarankan untuk menyimpan kunci secara langsung di aplikasi seluler,” kata peneliti CloudSEK.
Peneliti menjelaskan bahwa ebocoran kunci API biasanya disebabkan oleh kesalahan pengembang aplikasi yang menyematkan kunci autentikasi mereka di API Twitter tetapi lupa menghapusnya saat ponsel dirilis.
Dalam kasus ini, kredensial yang disimpan dalam aplikasi seluler dapat digunakan untuk membaca pesan langsung langsung seseorang, melakukan retweet dan like, dan membuat atau menhapus tweet. Serta mengikuti atau menghapus pengikut, mengakses pengaturan akun pengguna, dan mengubah gambar tampilan.
Sementara itu, salah satu skenario penyalahgunaan akses yang paling menonjol, menurut CloudSEK, adalah pelaku ancaman menggunakan token terbuka ini untuk membuat pasukan Twitter dengan akun terverifikasi (dapat dipercaya) dengan banyak pengikut untuk mempromosikan berita palsu, kampanye malware, penipuan cryptocurrency, dll.
“Kebocoran kunci API biasanya disebabkan oleh kesalahan pengembang aplikasi yang menyematkan kunci autentikasi mereka di API Twitter, tetapi lupa menghapusnya saat ponsel dirilis,” kata peneliti.
Peneliti juga membagikan daftar aplikasi yang terpengaruh dengan BleepingComputer, dengan aplikasi antara 50.000 dan 5.000.000 unduhan, termasuk pendamping transportasi kota, penyetel radio, pembaca buku, pencatat acara, surat kabar, aplikasi e-banking, aplikasi GPS bersepeda, dan banyak lagi.
Sebagian besar aplikasi yang mengekspos kunci API mereka secara publik bahkan belum mengakui menerima pemberitahuan CloudSEK setelah sebulan sejak perusahaan keamanan siber memperingatkan mereka, dan sebagian besar belum mengatasi masalah tersebut.
