超过 3200 个应用在Twitter API密钥上泄露保密信息

最近出现了一系列不寻常的手机应用，被网络安全专家注意到了，这些应用程序向民众公开了 Twitter API 密钥，据统计，此类应用程序多达 3200 个。

网络安全公司 CloudSEK 首次发现了这一问题，该公司在检查大型应用程序集合是否存在数据泄露时，发现了大量应用程序泄露了 Twitter API 密钥。

当攻击者设法得到这些密钥后，就能够以关联的 Twitter 用户身份进行操作，建议大家不要将密钥直接存储在移动应用中，避免攻击者找到并利用它们。

CloudSEK 强调，API 密钥泄漏一般是应用程序开发人员造成的，他们在研究人员开发操作系统的过程中将加密货币认证相关密钥第一次嵌入到 Twitter API 中，但是之后并未有意识地删除。

密钥泄露产生哪些影响？

从 CloudSEK 分享给 BleepingComputer 的受影响应用程序清单来看，这些应用程序的下载量普遍在 5 万到 500 万之间，其中主要包括城市交通伴侣、广播调谐器、图书阅读器、事件记录器、报纸、电子银行应用、自行车 GPS 应用等。

值得一提的是，在网络安全公司 CloudSEK 发出警报一个月后，大多数公开暴露 API密钥的应用程序表示没有收到任何通知，也没有解决密钥泄露问题。据了解，这些漏洞可能导致恶意软件利用api进行攻击，从而窃取用户数据。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!