I ricercatori di CloudSEK lanciano un allarme su oltre 3.200 app iOS e Android che il cyber crimine potrebbe sfruttare per accedere agli account di Twitter degli sviluppatori e formare un’armata di bot.
“Anche se non sussistono prove nel caso specifico”, commenta Fabrizio Croce, VP Sales South Europe, WatchGuard Technologies, “il problema talvolta sta nella programmazione affrettata o a basso costo, nell’utilizzo di chiavi API direttamente scritte nel codice”.
Indice degli argomenti
Account Twitter a rischio: i dettagli
Gli app developer sfruttano le API di Twitter per accedere a funzionalità del social network attraverso quattro differenti metodi di autenticazione, usati singolarmente o insieme.
Durante le fasi di testing delle app, le chiavi di autenticazione o token vengono archiviate nel codice così da velocizzare il lavoro degli sviluppatori. CloudSEK ha però scoperto che in 3.207 app Android le credenziali di accesso non sono state rimosse prima di essere pubblicate negli store ufficiali di Apple e Google.
In questo modo, le app rendono visibili al pubblico le chiavi di autenticazione con cui malintenzionati o cyber criminali potrebbero ottenere il controllo degli account Twitter. Alcune di queste app superano i 5 milioni di download.
Scaricare le app e recuperare le chiavi è infatti un gioco da ragazzi. Il cyber crime potrebbe quindi accedere agli account Twitter degli utenti che hanno effettuato il download di app sul dispositivo ed eseguire attività malevoli per conto di ignari utenti. Per esempio, potrebbero leggere messaggi diretti, rimuovere follower, aggiungere like, cancellare tweet o fare retweet, seguire altri account e cambiare le configurazioni.
Sarebbe perfino ipotizzabile formare un esercito di bot per diffondere disinformazione e malware, compiere cyber truffe, inviare email o SMS di phishing per trafugare informazioni personali.
Come proteggersi
In questo caso le soluzioni di sicurezza hanno purtroppo scarsa utilità, anche se occorre sempre utilizzarle per tutelare i dati personali e le credenziali di login in tutti gli altri casi.
Il consiglio, sempre valido, è di evitare di scaricare app inutili perché estendiamo il perimetro di attacco,
“I ricercatori”, sottolinea inoltre Fabrizio Croce, “affermano che per mitigare tali attacchi è consigliabile rivedere continuamente l’utilizzo di chiavi API direttamente scritte nel codice, sostituendo periodicamente le chiavi per ridurre i probabili rischi derivanti da un furto delle stesse”
“In alternativa”, conclude l’analista, “l’utilizzo di variabili inserite in un file esterno al codice consente di risparmiare tempo e aumentare la sicurezza. Occorre, però, prestare la dovuta attenzione per garantire che il file contenente variabili di ambiente non sia incluso nel codice sorgente”.
