Chiavi degli account Twitter contenute in oltre 3.200 applicazioni Android: che cosa significa

Un gruppo di ricercatori scopre migliaia di app Android affette da un grave problema di sicurezza: le credenziali per l'accesso agli account Twitter degli sviluppatori sono contenute in chiaro nelle varie applicazioni. I criminali informatici possono così impossessarsi di quegli account e utilizzarli per svolgere attività illecite.
Michele Nasi
Pubblicato il 2 ago 2022
Chiavi degli account Twitter contenute in oltre 3.200 applicazioni Android: che cosa significa

Così come altre piattaforme anche Twitter mette a disposizione degli sviluppatori delle API che consentono le applicazioni di pubblicare post, inviare messaggi diretti, svolgere operazioni al posto dell’utente, pianificare attività social e via dicendo.

I ricercatori di CloudSEK hanno scoperto più di 3.200 applicazioni Android che stanno esponendo le chiavi (Consumer Key e Consumer Secret) per l’accesso alle API di Twitter.
Venendo meno alle più basilari regole di sicurezza, gli sviluppatori hanno inserito (hardcoded) tali credenziali di accesso all’interno delle loro app rendendone semplice la sottrazione da parte di chiunque provi ad analizzare il funzionamento delle applicazioni in questione.

Secondo CloudSEK i criminali informatici possono raccogliere tutte le credenziali lasciate nel sorgente delle app e servirsi di un larghissimo numero di account Twitter altrui verificati e attendibili, con un gran numero di follower, per promuovere fake news, campagne malware, lanciare attacchi phishing e porre in essere attività truffaldine.

Gli esperti di CloudSEK aggiungono che la sottrazione delle chiavi per l’utilizzo delle API di Twitter (come di altre piattaforme) è il risultato di errori commessi dagli sviluppatori delle singole app che incorporano le loro chiavi di autenticazione durante la fase di test ma dimenticano di rimuoverle quando l’applicazione viene effettivamente rilasciata.
In questi casi le credenziali vengono memorizzate all’interno delle applicazioni mobili nelle seguenti posizioni:

resources/res/values/strings.xml
source/resources/res/values-es-rAR/strings.xml
source/resources/res/values-es-rCO/strings.xml
source/sources/com/app-name/BuildConfig.java

CloudSEK consiglia agli sviluppatori di utilizzare la rotazione delle chiavi per proteggere i loro account e invalidare i dati di autenticazione precedentemente esposti.

Nella lista di app affette dal problema, tutte hanno fatto registrare tra 50mila e 5 milioni di download. L’elenco delle applicazioni non è stato diffuso perché alcuni sviluppatori non hanno ancora rilasciato versioni esenti dal problema. CloudSEK puntualizza che la scoperta non riguarda soltanto piccoli produttori ma anche aziende dal nome altisonante.

Ti consigliamo anche

Google Play: arriva il nuovo widget Raccolte per un'esperienza tutta nuova
Android

Google Play: arriva il nuovo widget Raccolte per un'esperienza tutta nuova
YouTube, pronto il lancio del Picture-in-Picture per Android
Applicativi

YouTube, pronto il lancio del Picture-in-Picture per Android
Samsung: stop al sideloading delle app per impostazione predefinita
Android

Samsung: stop al sideloading delle app per impostazione predefinita
Google Play Store, scansione malware: Play Protect migliora ancora
Sicurezza

Google Play Store, scansione malware: Play Protect migliora ancora
Link copiato negli appunti