超過3,200個移動程序暴露Twitter API密鑰

新加坡安全企業(yè)CloudSEK本周警告，已發(fā)現(xiàn)有3,207個移動程序外泄了Twitter API的密鑰，可被用來訪問或接管Twitter賬號。

當開發(fā)者要于移動程序中集成Twitter時，必須取得特定的身份認證密鑰以與Twitter API交互，以代替用戶登錄Twitter或執(zhí)行Twitter功能，然而，當CloudSEK利用該公司所開發(fā)的移動程序安全搜索引擎BeVigil進行分析時，卻發(fā)現(xiàn)有4,810款移動程序外泄了訪問Twitter賬號必須具備的所有密鑰，其中的3,207個程序所外泄的密鑰都是有效的。

CloudSEK指出，Twitter API密鑰的外泄源自于這些移動程序的安全漏洞，它們把密鑰存放在唾手可得之處，于是在將程序上傳至Google Play后，黑客只要簡單地下載程序，并將它們進行反編譯，就能獲得API憑證，取得大量的API密鑰與令牌，進而部署Twitter機器人大軍。

由于黑客等同于取得了眾多Twitter賬號的控制權，因此可以用來發(fā)布不實資訊，以合法賬號執(zhí)行惡意程序攻擊，或是傳播垃圾消息，以及發(fā)動網(wǎng)絡釣魚攻擊等。

CloudSEK提醒，開發(fā)者不應直接將API密鑰嵌入程序代碼中，并應遵循安全的程序代碼撰寫與部署流程，包括標準化的程序代碼審查程序、隱藏密鑰與輪替密鑰等。