Los investigadores de CloudSEK han descubierto en una investigación como 3207 aplicaciones que utilizan la API de Twitter exponen información de la red social del pajarito al público. Esto podría permitir el uso de estas claves para secuestrar las cuentas de Twitter asociadas con las aplicaciones afectadas.
Una API es un pequeño programa que se encarga de intercambiar información entre dos aplicaciones o servicios. Like this, es posible simplificar el desarrollo de una aplicación que intercambie información con, For example, Twitter. Dichos intercambios de información son autenticados con lo que se conoce como una “API Key”, única para cada usuario de Twitter. Es esta última “API Key” lo que se ha descubierto sin cifrar en las aplicaciones afectadas.
In these cases, como se almacena la “API key” en el dispositivo, sería posible, en el caso de Twitter, leer los mensajes directos, hacer retweets y cambiar la información del perfil, entre las otras funciones de Twitter.
Entre las aplicaciones afectadas hay diferentes reproductores de radio, lectores de libros electrónicos, aplicaciones bancarias, aplicaciones de deporte… pero no se ha publicado la lista. Los investigadores han enviado el informe de su trabajo a los desarrolladores para que publiquen actualizaciones que mitiguen lo ocurrido.
