3200以上のモバイルアプリでAPIキー漏えい判明!Twitterアカウントの乗っ取りが可能に

投稿日:

by kenji

サイバーセキュリティ会社が、iOSアプリを含む3,200以上のモバイルアプリでAPIキーが漏えいするセキュリティーエラーを発見。

Twitterを乗っ取られる危険性があると警告を発しています。

3200以上のモバイルアプリでTwitterアカウントの乗っ取りが可能なAPIキー漏えい判明

9to5Macによると、Bleeping ComputerはTwitterアカウントの乗っ取りが可能なAPIキーの漏えいについてサイバーセキュリティ会社CloudSEKのAttack Surface Monitoring Platformの公表結果をレポート。

CloudSEKは、Twitterアカウントへのアクセスや乗っ取りに利用できるTwitter APIキーを漏えいしている3207個のアプリを発見、その中の230個のアプリが4つの認証資格情報をすべて漏えいしており、完全な乗っ取りが可能とのことです。

CloudSEKは、API キーの漏洩は、アプリ開発者が認証キーをTwitter APIに埋め込んだものの、モバイルアプリがリリースされたときに削除するのを忘れたというミスの結果であると説明しています。

CloudSEKによると、Twitterを乗っ取られる可能性は開発者側のアカウントで、悪用された場合、多数のフォロワーを持つ検証済みのアカウントを乗っ取り、フェイクニュースやマルウェアキャンペーンを行ったり、暗号通貨詐欺などの恐れがあるとのことです。

APIキーの漏えいが判明しているアプリは幅広く、交通系アプリ、銀行系アプリ、新聞系アプリなどが含まれているとのことです。

APIキーを公開しているほとんどのアプリは、CloudSEKからの警告を受けてから1か月経ってもほとんど問題に対処していないため、悪用を防ぐために、アプリのリストは公表されていません。

海外でiPhoneは充電できるのか?変圧器が必要なケースを紹介

参考:Bleeping Computer via 9to5Mac

関連記事