Yapılan yeni araştırma 3.200’den fazla uygulamanın Twitter API üzerinden büyük bir açık yarattığını ortaya çıkardı. Açık sayesinde saldırganlar hesaplara bu uygulamalar üzerinden erişebiliyor.

Siber güvenlik araştırmacıları, Twitter API anahtarlarını halka açıklayan ve potansiyel olarak bir tehdit oluşmasına neden olan uygulamalara yönelik bir çalışma gerçekleştirdi. Araştırma sonuçlarına göre Twitter hesaplarının ele geçirilmesine olanak tanıyan 3.207 mobil uygulama var. Twitter ve uygulamalar arasındaki güvenliğe yönelik yapılan bu araştırmada, Twitter API kullanımlarının büyük bir tehdit yarattığı belirtildi.

5.4 milyon Twitter hesap verisi 30000 dolara satışa çıktı!

Twitter API ile açık nasıl ortaya çıkıyor?

Twitter API kullanmak güvenlik noktasında büyük bir zafiyet yaratmıyor. Ancak mobil uygulamaların Twitter ile entegre edilmesi sırasında Twitter API ile özel kimlik doğrulama anahtarları sağlanıyor. İşin tehlikeli kısmı ise kullanımda. Zira kullanıcı Twitter hesabını bu mobil uygulama ile ilişkilendirdiğinde, uygulamanın kullanıcı adına Twitter üzerinden oturum açma, tweet oluşturma, DM gönderme vb. gibi ayrıcalıklar elde etmesine neden oluyor.

Twitter API
Twitter API kullanımı ile güvenlik açığı yaratan uygulamaların gelişimi

Uygulama geliştiricilerinin bu işlemler sırasında yaptığı hatalar ya da ihmaller, büyük güvenlik açıklarına neden oluyor. Araştırmayı yapan CloudSEK’e göre bu açığın en büyük sorumlusu Twitter API’si üzerinden yapılan yerleştirme işlemlerini kaldırmayı unutan uygulama geliştiricileri. Bu ihmal sonrasında Twitter API ile elde edilen ve uygulamada yer alan kimlik bilgileri aşağıdaki alanlarda saklanıyor;

  • resources/res/values/strings.xml
  • source/resources/res/values-es-rAR/strings.xml
  • source/resources/res/values-es-rCO/strings.xml
  • source/sources/com/app-name/BuildConfig.java

CloudSEK raporunda bu açığın ortadan kalması adına geliştiricilerin açıkta kalan anahtarları geçersiz kılacak API anahtarı döndürme kullanmasını öneriyor. Bu yöntem, mevcut açığı kapatacağı gibi daha güvenli bir kullanım da sağlayabilecek.

1990 doğumlu yazar, 10 yılı aşkın süredir editör ve içerik yazarı olarak çalışmaktadır.

Cevap Yaz

E-posta hesabınız yayımlanmayacak.