Des chercheurs en sécurité ont découvert une erreur de développeur dans plus de 3 200 applications mobiles, ce qui rend possible des détournements de compte Twitter complets ou partiels.
Dans les pires exemples, affectant environ 320 applications, il permet à un attaquant de prendre le contrôle total d’un compte Twitter…
Cela leur permettrait d’effectuer tout ce qui suit :
- Lire les messages directs
- Retweet
- Comme
- Effacer
- Supprimer les abonnés
- Suivez n’importe quel compte
- Obtenir les paramètres du compte
- Changer l’image d’affichage
La bonne nouvelle est que les comptes qui peuvent être piratés sont ceux qui appartiennent au développeur de l’application, plutôt qu’à l’utilisateur, mais la société de cybersécurité affirme que cela crée le danger qu’une armée de robots utilise des comptes Twitter souvent très médiatisés et vérifiés pour se propager. désinformation.
L’armée de robots Twitter que nous allons essayer de créer peut mener n’importe quelle guerre pour vous. Mais peut-être que la plus dangereuse est la guerre de la désinformation, sur Internet, alimentée par des bots. Time Berners-Lee, le père fondateur d’Internet, a déclaré qu’il est trop facile pour la désinformation de se propager, car la plupart des gens obtiennent leurs informations à partir d’un petit ensemble de sites de médias sociaux et de moteurs de recherche qui gagnent de l’argent en cliquant sur des liens. Les algorithmes de ces sites donnent souvent la priorité au contenu en fonction de ce avec quoi les gens sont susceptibles de s’engager, ce qui indique que les fausses nouvelles peuvent « se propager comme une traînée de poudre ».
Un autre risque est que les comptes sont utilisés pour promouvoir les escroqueries, comme celles de la crypto-monnaie répandues sur Twitter.
Un autre encore est la divulgation potentielle d’informations sensibles par le biais d’attaquants ayant accès à des messages directs.
Ordinateur qui bipe explique comment le problème est survenu.
Lors de l’intégration d’applications mobiles avec Twitter, les développeurs recevront des clés d’authentification spéciales, ou jetons, qui permettent à leurs applications mobiles d’interagir avec l’API Twitter. Lorsqu’un utilisateur associe son compte Twitter à cette application mobile, les clés permettront également à l’application d’agir au nom de l’utilisateur, par exemple en se connectant via Twitter, en créant des tweets, en envoyant des DM, etc.
Comme l’accès à ces clés d’authentification pourrait permettre à n’importe qui d’effectuer des actions en tant qu’utilisateurs Twitter associés, il n’est jamais recommandé de stocker les clés directement dans une application mobile où les pirates peuvent les trouver.
CloudSEK explique que la fuite des clés API est généralement le résultat d’erreurs des développeurs d’applications qui intègrent leurs clés d’authentification dans l’API Twitter mais oublient de les supprimer lors de la sortie du mobile.
Les applications concernées incluent certaines extrêmement populaires, avec des millions d’utilisateurs. Les noms des applications n’ont pas été divulgués, car la plupart des développeurs n’ont toujours pas résolu le problème un mois après que CloudSEK les a alertés. Une application a été nommée – Ford Events – car la Ford Motor Company a mis à jour l’application pour supprimer les informations d’identification.
Photo : Joshua Hoehne/Unsplash
Découvrez cette vidéo ci-dessous (en anglais) pour plus d’actualités Apple :
