ผู้เชี่ยวชาญจาก CloudSEK พบ Mobile Application กว่า 3,207 แอพพลิเคชันที่มีการเปิดเผย API Key ของ Twitter ออกสู่สาธารณะ ส่งผลให้ผู้ใช้งานมีความเสี่ยงถูกเข้าถึงบัญชี Twitter
รายละเอียดของเหตุการณ์
- โดยปกติเมื่อผู้พัฒนาทำการ Integrate Mobile Application เข้ากับบัญชี Twitter ผู้พัฒนาจะได้รับ Key หรือ Token สำหรับใช้เชื่อมต่อกับ API ของ Twitter
- เมื่อผู้ใช้งานแอพพลิเคชันทำการเชื่อมโยง Mobile Application เข้ากับบัญชี Twitter ของตน API Key จะช่วยให้แอพพลิเคชันสามารถดำเนินการต่าง ๆ ในนามของผู้ใช้งานได้ เช่น การเข้าสู่ระบบผ่านทาง Twitter การสร้างทวีต การส่ง DM เป็นต้น
- ซึ่งปกติ ข้อมูลประจำตัวจะถูกเก็บไว้ในแอปพลิเคชันบนมือถือที่ตำแหน่งต่อไปนี้
1. resources/res/values/strings.xml
2. source/resources/res/values-es-rAR/strings.xml
3. source/resources/res/values-es-rCO/strings.xml
4. source/sources/com/app-name/BuildConfig.java - หากผู้พัฒนาไม่ได้ลบ API Key ทิ้งก่อนเปิดตัวแอพพลิเคชันให้ใช้งาน จะส่งผลให้ API Key นี้หลุดออกไปได้ และทำให้ข้อมูลของผู้ใช้งานอาจจะถูกเข้าถึงได้ เช่น
1. ข้อมูลใน direct messages
2. การรีทวีต และไลค์
3. การสร้าง หรือลบทวีต
4. การลบ หรือเพิ่มผู้ติดตามใหม่
5. การเข้าถึงการตั้งค่าบัญชี
6. การเปลี่ยนรูปภาพที่แสดง - เมื่อผู้ไม่หวังดีได้ Token เหล่านี้ไป จะสามารถใช้ Twitter Account ที่ได้รับการยืนยัน และมีผู้ติดตามจำนวนมาก ในการสร้างข่าวปลอม, ปล่อยแคมเปญมัลแวร์ , การหลอกลวงในเรื่อง cryptocurrency เป็นต้น
CloudSEK ได้ส่งการแจ้งเตือนไปยังผู้พัฒนาแอพพลิเคชันที่ได้รับผลกระทบจากเหตุการณ์ดังกล่าว แต่ดูเหมือนว่าผู้พัฒนาส่วนใหญ่ยังไม่ได้ทำการแก้ไข โดยปัจจุบันยังไม่มีการเปิดเผยรายชื่อแอพพลิเคชันเหล่านี้ เนื่องจากมีความเสี่ยงต่อบัญชีผู้ใช้งานเป็นอย่างมาก CloudSEK จึงทำได้เพียงแชร์ข้อมูลเพิ่มเติมเกี่ยวกับแอพพลิเคชันที่ได้รับผลกระทบ ซึ่งมีทั้ง แอป GPS สำหรับนักปั่นจักรยาน, อ่านหนังสือ, อ่านข่าว, ฟังวิทยุ, e-banking, แอปสำหรับเก็บข้อมูล Log และอื่น ๆ อีกมากมาย ซึ่งหลายแอพพลิเคชันมียอดดาวน์โหลดตั้งแต่ 50,000 ถึง 5,000,000 ครั้ง
แนวทางการแก้ไข
ผู้พัฒนาแอพพลิเคชันควรมีการเปลี่ยน API Key เพื่อทำให้ Key ที่อาจจะหลุดออกมาใช้งานไม่ได้หลังจากผ่านไปสักระยะเวลาหนึ่ง
ที่มา : www.bleepingcomputer.com
You must be logged in to post a comment.