proteccion Los investigadores han descubierto un error de desarrollador en más de 3200 aplicaciones móviles, lo que lo hace total o parcialmente posible. Gorjeo Secuestro de cuenta.
En los peores ejemplos, afectando a unas 320 aplicaciones, permite al atacante tomar el control total de la cuenta de Twitter…
Esto les permitirá hacer cualquiera de las siguientes cosas:
- Leer mensajes directos
- retuitear
- Gustos
- Eliminar
- eliminar seguidores
- Seguir cualquier cuenta
- Obtener la configuración de la cuenta
- Cambiar imagen de visualización
La buena noticia es que las cuentas que se pueden piratear son las del desarrollador de la aplicación, no las del usuario, pero la firma de seguridad cibernética dice que esto crea el riesgo de que el ejército de bots use lo que se usa con frecuencia. Cuentas de Twitter de alto perfil y verificadas Para difundir información errónea.
El ejército de bots de Twitter que vamos a intentar crear puede pelear cualquier guerra por ti. Pero quizás la más peligrosa de ellas sea la guerra de desinformación, en Internet, con el apoyo de bots. Es muy fácil difundir información errónea, dijo Time Berners-Lee, el padre fundador de Internet porque la mayoría de las personas obtienen sus noticias de un pequeño grupo de sitios de redes sociales y motores de búsqueda que ganan dinero con las personas que hacen clic en los enlaces. Los algoritmos de estos sitios a menudo priorizan el contenido en función de lo que es probable que interactúen las personas, lo que significa que las noticias falsas pueden «propagarse como un reguero de pólvora».
Otro riesgo son las cuentas que se utilizan para promover estafas, como la principal criptomoneda de Twitter.
Otro más es la posible detección de información sensible A través del acceso de los atacantes a los mensajes directos.
computadora dormida Explica cómo surgió el problema.
Al integrar aplicaciones móviles con Twitter, los desarrolladores recibirán claves o tokens de autenticación especiales que permitirán que sus aplicaciones móviles interactúen con la API de Twitter. Cuando el usuario asocie su cuenta de Twitter con esta aplicación móvil, las claves también permitirán que la aplicación actúe en nombre del usuario, como iniciar sesión en Twitter, crear tweets, enviar mensajes directos, etc.
Dado que el acceso a estas claves de autenticación puede permitir que cualquier persona realice acciones, como los usuarios de Twitter asociados, nunca se recomienda almacenar las claves directamente en una aplicación móvil donde los atacantes puedan encontrarlas.
CloudSEK explica que las filtraciones de claves API suelen ser el resultado de errores de los desarrolladores de aplicaciones que incluyeron sus claves de autenticación en la API de Twitter pero se olvidaron de eliminarlas en el lanzamiento móvil.
Las aplicaciones afectadas incluyen algunas aplicaciones muy populares, con millones de usuarios. Los nombres de las aplicaciones no se revelaron porque la mayoría de los desarrolladores no habían solucionado el problema un mes después de que CloudSEK les alertara. Nombrada una aplicación – Ford Events – Ford Motor Company actualizó la aplicación para eliminar las credenciales.
imagen: Josué Hohen/Unsplash
FTC: Utilizamos enlaces de afiliados para obtener ingresos. más.
Visite 9to5Mac en YouTube para obtener más noticias de Apple:
«Organizador. Escritor. Nerd malvado del café. Evangelista general de la comida. Fanático de la cerveza de toda la vida.
