Twitter API キーをリークする 3,200 のモバイル・アプリ:研究者が推奨する対策とは?

Researchers Discover Nearly 3,200 Mobile Apps Leaking Twitter API Keys

2022/08/01 TheHackerNews — 研究者たちが発見した 3,207件のアプリ・リストだが、そのうちのいくつかは、Twitterアカウントに不正にアクセスするために利用できるものだという。シンガポールのサイバー・セキュリティ企業 CloudSEK は、The Hacker News と独占的に共有したレポートの中で、正規の Consumer Key と Consumer Secret の情報が流出したことで、乗っ取りが可能になると述べている。


研究者たちは、「3,207件のうち 230件のアプリは、4つの認証情報の全てを漏らしており、任意の重要かつ機密のアクションを実行することで、Twitter アカウントを完全に乗っ取るために使用できる」と述べている。

具体的には、ダイレクト・メッセージの読み取りから、リツイート/イイネ/削除/フォロー/フォロワー削除/アカウント設定/プロフィール画像の変更にいたるまで、任意のアクションを実行することが可能となる。

Twitter API にアクセスするためには、アプリのユーザー名とパスワード、および API リクエストを代行する、ユーザーのキーとアクセストークンを生成する必要がある。この情報を入手した悪意の行為者は、ソーシャルメディア上で誤った情報を広める可能性のある、Twitter ボット軍団を編成できる。研究者たちは、「複数のアカウント乗っ取りを利用して、同じメッセージを連動して発信できれば、繰り返して拡散することが可能になる」と指摘している。

さらに、CloudSEK が説明する仮想シナリオは、モバイル・アプリから採取した API キーとトークンをプログラムに埋め込み、認証済みアカウントを通じてフォロワーをターゲットにするという、大規模なマルウェア・キャンペーンを実行することも可能だというものだ。

こうした懸念に加えて、キーの流出が Twitter API だけに限定されていないことにも注意が必要だ。過去において CloudSEK の研究者たちは、保護されていないモバイル・アプリから、GitHub/AWS/HubSpot/Razorpay アカウントの秘密鍵を発見している。

このような攻撃を軽減するためには、コードを見直すことで API キーのハードコードの有無を確認し、定期的にキーを入れ替えて、漏洩によるリスクを軽減することが推奨される。

研究者たちは、「ソースファイルにキーを埋め込まないことは別にして、環境内の変数は、キーを参照するための代替手段であり、キーを偽装するためのものにもなる。変数の適切な用法により、時間の節約とセキュリティの向上が可能になる。ソースコードに環境変数を含むファイルが含まれないよう、十分な配慮が必要である」と述べている。

Twitter API を利用するモバイル・アプリには、さまざまなものがあると容易に想像できますが、その中には API キーの管理が脆弱になっているものが、数多くあるようです。この記事のベースになっている、CloudSEK のレポート How Leaked Twitter API Keys Can be Used to Build a Bot Army ですが、メアドなどの入力が不要な形式で提供されていますので、よろしければ、ご参照ください。API インシデントに関連する記事としては、6月14日に Travis-CI API からの OAuth トークン流出を解説するものがあります。また、カテゴリ API もありますので、よろしければ ご参照ください。

%d bloggers like this: