Mobile Application จำนวนมากทำ Twitter API รั่วไหล ผู้ใช้งานมีความเสี่ยงถูกเข้าถึงบัญชี Twitter

ผู้เชี่ยวชาญจาก CloudSEK พบ Mobile Application กว่า 3,207 แอพพลิเคชันที่มีการเปิดเผย API Key ของ Twitter ออกสู่สาธารณะ ส่งผลให้ผู้ใช้งานมีความเสี่ยงถูกเข้าถึงบัญชี Twitter

รายละเอียดของเหตุการณ์

  • โดยปกติเมื่อผู้พัฒนาทำการ Integrate Mobile Application เข้ากับบัญชี Twitter ผู้พัฒนาจะได้รับ Key หรือ Token สำหรับใช้เชื่อมต่อกับ API ของ Twitter
  • เมื่อผู้ใช้งานแอพพลิเคชันทำการเชื่อมโยง Mobile Application เข้ากับบัญชี Twitter ของตน API Key จะช่วยให้แอพพลิเคชันสามารถดำเนินการต่าง ๆ ในนามของผู้ใช้งานได้ เช่น การเข้าสู่ระบบผ่านทาง Twitter การสร้างทวีต การส่ง DM เป็นต้น
  • ซึ่งปกติ ข้อมูลประจำตัวจะถูกเก็บไว้ในแอปพลิเคชันบนมือถือที่ตำแหน่งต่อไปนี้
    1. resources/res/values/strings.xml
    2. source/resources/res/values-es-rAR/strings.xml
    3. source/resources/res/values-es-rCO/strings.xml
    4. source/sources/com/app-name/BuildConfig.java
  • หากผู้พัฒนาไม่ได้ลบ API Key ทิ้งก่อนเปิดตัวแอพพลิเคชันให้ใช้งาน จะส่งผลให้ API Key นี้หลุดออกไปได้ และทำให้ข้อมูลของผู้ใช้งานอาจจะถูกเข้าถึงได้ เช่น
    1. ข้อมูลใน direct messages
    2. การรีทวีต และไลค์
    3. การสร้าง หรือลบทวีต
    4. การลบ หรือเพิ่มผู้ติดตามใหม่
    5. การเข้าถึงการตั้งค่าบัญชี
    6. การเปลี่ยนรูปภาพที่แสดง
  • เมื่อผู้ไม่หวังดีได้ Token เหล่านี้ไป จะสามารถใช้ Twitter Account ที่ได้รับการยืนยัน และมีผู้ติดตามจำนวนมาก ในการสร้างข่าวปลอม, ปล่อยแคมเปญมัลแวร์ , การหลอกลวงในเรื่อง cryptocurrency เป็นต้น

CloudSEK ได้ส่งการแจ้งเตือนไปยังผู้พัฒนาแอพพลิเคชันที่ได้รับผลกระทบจากเหตุการณ์ดังกล่าว แต่ดูเหมือนว่าผู้พัฒนาส่วนใหญ่ยังไม่ได้ทำการแก้ไข โดยปัจจุบันยังไม่มีการเปิดเผยรายชื่อแอพพลิเคชันเหล่านี้ เนื่องจากมีความเสี่ยงต่อบัญชีผู้ใช้งานเป็นอย่างมาก CloudSEK จึงทำได้เพียงแชร์ข้อมูลเพิ่มเติมเกี่ยวกับแอพพลิเคชันที่ได้รับผลกระทบ ซึ่งมีทั้ง แอป GPS สำหรับนักปั่นจักรยาน, อ่านหนังสือ, อ่านข่าว, ฟังวิทยุ, e-banking, แอปสำหรับเก็บข้อมูล Log และอื่น ๆ อีกมากมาย ซึ่งหลายแอพพลิเคชันมียอดดาวน์โหลดตั้งแต่ 50,000 ถึง 5,000,000 ครั้ง

แนวทางการแก้ไข

ผู้พัฒนาแอพพลิเคชันควรมีการเปลี่ยน API Key เพื่อทำให้ Key ที่อาจจะหลุดออกมาใช้งานไม่ได้หลังจากผ่านไปสักระยะเวลาหนึ่ง

ที่มา : www.bleepingcomputer.com