CloudSEK 的工程师发布了一份关于如何在机器人和 Twitter 方面做到这一点的报告。
该公司的研究人员表示,他们发现了 3,207 个泄露 Twitter API 密钥的应用程序,这些密钥可用于访问甚至完全接管 Twitter 帐户。
Twitter 有用地公开了一个 API,以允许开发人员访问微博平台。有了它,开发人员可以使用诸如阅读和发送推文和直接消息、关注和取消关注用户等功能。事实证明,它有时会引起争议,最近 Elon Musk 的法律团队抱怨 API 速率限制。基本上,马斯克声称他无法确定有多少 Twitter 账户是由机器人运行的,或者是不真实的。
相同的 API 已证明对开发人员来说是一个福音,他们的工作因该功能而变得更轻松,尽管它们偶尔也会对用户造成刺激(例如,某些游戏会将最近的分数添加到用户的 Twitter 时间线中。)
谁需要机器人军队?
然而,API 并不是真正的问题。问题在于为 API 访问提供给开发人员的身份验证密钥以及这些密钥的存储方式。是的,根据安全机构的说法,密钥有时以可访问的方式存储在代码中。给出了开发移动应用程序的示例,其中 API 用于测试,然后将凭据保存在应用程序中。然后,随着应用程序投入生产,密钥并没有被删除。不法分子可以简单地下载应用程序,对其进行反编译并获取 API 密钥。
“因此,可以从这里收集大量 API 密钥和令牌,为 Twitter 机器人大军做好准备,”研究人员说。
至于用这样的军队能做什么?CloudSEK 提出的场景包括传播错误信息、从所谓的受信任帐户发起恶意软件攻击、垃圾邮件和不可避免的网络钓鱼。
3,207 个泄露的应用程序中,有 57 个拥有 Twitter API 的高级或企业订阅(据研究人员称,每月费用为 149 美元),并且一些泄露的凭据属于经过验证的 Twitter 帐户。230 人泄露了足够的凭据以允许完整的帐户接管。
可以做什么?答案只是很好的做法。虽然在现代开发世界中可能不是很流行,但 CloudSEK 建议进行适当的版本控制,包括代码审查和批准。应旋转键并建议将它们隐藏在变量中。
研究人员写道:“应注意确保源代码中不包含包含环境变量的文件。
声明: 此文观点不代表本站立场;转载须要保留原文链接;版权疑问请联系我们。