Más de 3000 aplicaciones filtran información de Twitter

Miles de aplicaciones que utilizan la API de Twitter no protegen debidamente las claves de API que utilizan. Esto podría permitir el secuestro de cuentas.

Los investigadores de CloudSEK han descubierto en una investigación como 3207 aplicaciones que utilizan la API de Twitter exponen información de la red social del pajarito al público. Esto podría permitir el uso de estas claves para secuestrar las cuentas de Twitter asociadas con las aplicaciones afectadas.

Una API es un pequeño programa que se encarga de intercambiar información entre dos aplicaciones o servicios. Así, es posible simplificar el desarrollo de una aplicación que intercambie información con, por ejemplo, Twitter. Dichos intercambios de información son autenticados con lo que se conoce como una «API Key», única para cada usuario de Twitter. Es esta última «API Key» lo que se ha descubierto sin cifrar en las aplicaciones afectadas.

En estos casos, como se almacena la «API key» en el dispositivo, sería posible, en el caso de Twitter, leer los mensajes directos, hacer retweets y cambiar la información del perfil, entre las otras funciones de Twitter.

Entre las aplicaciones afectadas hay diferentes reproductores de radio, lectores de libros electrónicos, aplicaciones bancarias, aplicaciones de deporte… pero no se ha publicado la lista. Los investigadores han enviado el informe de su trabajo a los desarrolladores para que publiquen actualizaciones que mitiguen lo ocurrido.

Fuente: https://www.bleepingcomputer.com/news/security/over-3-200-apps-leak-twitter-api-keys-some-allowing-account-hijacks/

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Intec Cybersecurity
Intec Cybersecurity
intec cybersecurity