TWITTER: 3200 APP POSSONO CREARE UN ESERCITO DI BOT

CloudSEK ha individuato un pericolo nascosto in migliaia di app iOS e Android

1659661757TWITTER_3200_APP_POSSONO_CREARE_UN_ESERCITO_DI_BOT.jpg

I ricercatori di CloudSEK hanno recentemente scoperto oltre 3.200 app potrebbero essere utilizzate per accedere agli account di Twitter e potenzialmente creare un’armata di bot. Queste app esporrebbero pubblicamente le chiavi di autenticazione che consentono di prendere il controllo degli account ed eseguire una serie di azioni per conto degli ignari utenti. Ma come avverrebbe tutto ciò? Gli app developer sfruttano le API (application program interface) di Twitter per accedere a funzionalità del social network attraverso 4 differenti metodi di autenticazione (Consumer Key, Consumer Secret, Access Token e Access Secret), che possono essere usati singolarmente o insieme.

cms_27036/foto_1.jpg

La particolarità delle API è che uno sviluppatore non ha bisogno di sapere come vengono implementate, ma solo come l’interfaccia lavori. Quindi, tutta la codifica “grezza” viene gestita nel cosiddetto “back-end” e allo sviluppatore viene presentato un ordine su un’interfaccia in chiaro. Durante le varie fasi di testing delle app, le chiavi o token di autenticazione vengono archiviate nel codice così da velocizzare il lavoro degli sviluppatori. I ricercatori di CloudSEK sono riusciti a scoprire però che le chiavi non sono state rimosse da 3.207 app, prima della pubblicazione sugli store di Apple e Google e, di conseguenza, un malintenzionato o dei cybercriminali potrebbero facilmente scaricare le app e recuperare le chiavi prendendo il controllo degli account degli account Twitter che hanno installato quelle app.

cms_27036/foto_2.jpg

Teoricamente sarebbe anche possibile creare un esercito di bot per diffondere fake news, distribuire malware, effettuare truffe di vario genere e inviare email o SMS di phishing per rubare informazioni personali. Questi ovviamente non sono da confondere con i bot ufficiali già presenti sul social. “È fondamentale che le chiavi API non siano incorporate direttamente nel codice. Gli sviluppatori dovrebbero anche seguire in modo sicuro codifica e processi di distribuzione come: standardizzazione delle procedure di revisione…, nascondere le chiavi…, ruotare le chiavi API” avvertono nel loro report i ricercatori. Infine, un consiglio sempre valido per gli utenti su come tutelarsi è quello di evitare di scaricare app superflue o non necessarie, in quanto si estenderebbe il perimetro d’attacco.

Francesco Maria Tiberio

Tags:

Lascia un commento



Autorizzo il trattamento dei miei dati come indicato nell'informativa privacy.
NB: I commenti vengono approvati dalla redazione e in seguito pubblicati sul giornale, la tua email non verrà pubblicata.

International Web Post

Direttore responsabile: Attilio miani
Condirettore: Federica Marocchino
Condirettore: Antonina Giordano
Editore: Azzurro Image & Communication Srls - P.iva: 07470520722

Testata registrata presso il Tribunale di Bari al Nrº 17 del Registro della Stampa in data 30 Settembre 2013

Email: redazione@internationalwebpost.org

Collabora con noi

Scrivi alla redazione per unirti ad un team internazionale di persone dinamiche ed appassionate!

Le collaborazioni con l’International Web Post sono a titolo gratuito, salvo articoli, contributi e studi commissionati dal Direttore responsabile sulla base di apposito incarico scritto secondo modalità e termini stabiliti dallo stesso.


Seguici sui social

Newsletter

Lascia la tua email per essere sempre aggiornato sui nostri contenuti!

Iscriviti al canale Telegram