Yapılan yeni araştırma 3.200’den fazla uygulamanın Twitter API üzerinden büyük bir açık yarattığını ortaya çıkardı. Açık sayesinde saldırganlar hesaplara bu uygulamalar üzerinden erişebiliyor.
Siber güvenlik araştırmacıları, Twitter API anahtarlarını halka açıklayan ve potansiyel olarak bir tehdit oluşmasına neden olan uygulamalara yönelik bir çalışma gerçekleştirdi. Araştırma sonuçlarına göre Twitter hesaplarının ele geçirilmesine olanak tanıyan 3.207 mobil uygulama var. Twitter ve uygulamalar arasındaki güvenliğe yönelik yapılan bu araştırmada, Twitter API kullanımlarının büyük bir tehdit yarattığı belirtildi.
5.4 milyon Twitter hesap verisi 30000 dolara satışa çıktı!
Twitter api nedir?
Twitter API, kullanıcıların dünyayla paylaşmayı tercih ettiği herkese açık Twitter verilerine geniş çaplı erişim sağlar. Bu verileri erişmek ve farklı amaçlarda kullanmak amacıyla Twitter api kullanılmaktadır. Twitter api kullanımı yaygın olduğu kadar tehlikeleri de beraberinde getirmektedir.
Twitter API ile açık nasıl ortaya çıkıyor?
Twitter API kullanmak güvenlik noktasında büyük bir zafiyet yaratmıyor. Ancak mobil uygulamaların Twitter ile entegre edilmesi sırasında Twitter API ile özel kimlik doğrulama anahtarları sağlanıyor. İşin tehlikeli kısmı ise kullanımda. Zira kullanıcı Twitter hesabını bu mobil uygulama ile ilişkilendirdiğinde, uygulamanın kullanıcı adına Twitter üzerinden oturum açma, tweet oluşturma, DM gönderme vb. gibi ayrıcalıklar elde etmesine neden oluyor.
Uygulama geliştiricilerinin bu işlemler sırasında yaptığı hatalar ya da ihmaller, büyük güvenlik açıklarına neden oluyor. Araştırmayı yapan CloudSEK’e göre bu açığın en büyük sorumlusu Twitter API’si üzerinden yapılan yerleştirme işlemlerini kaldırmayı unutan uygulama geliştiricileri. Bu ihmal sonrasında Twitter API ile elde edilen ve uygulamada yer alan kimlik bilgileri aşağıdaki alanlarda saklanıyor;
- resources/res/values/strings.xml
- source/resources/res/values-es-rAR/strings.xml
- source/resources/res/values-es-rCO/strings.xml
- source/sources/com/app-name/BuildConfig.java
CloudSEK raporunda bu açığın ortadan kalması adına geliştiricilerin açıkta kalan anahtarları geçersiz kılacak API anahtarı döndürme kullanmasını öneriyor. Bu yöntem, mevcut açığı kapatacağı gibi daha güvenli bir kullanım da sağlayabilecek.
Android için Twitter indir
iOS için Twitter indir