Mercado fechado
  • BOVESPA

    112.764,26
    +3.046,26 (+2,78%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    48.853,37
    +392,77 (+0,81%)
     
  • PETROLEO CRU

    91,88
    -0,21 (-0,23%)
     
  • OURO

    1.818,90
    +3,40 (+0,19%)
     
  • BTC-USD

    24.322,71
    -172,13 (-0,70%)
     
  • CMC Crypto 200

    574,64
    +3,36 (+0,59%)
     
  • S&P500

    4.280,15
    +72,88 (+1,73%)
     
  • DOW JONES

    33.761,05
    +424,35 (+1,27%)
     
  • FTSE

    7.500,89
    +34,98 (+0,47%)
     
  • HANG SENG

    20.175,62
    +93,22 (+0,46%)
     
  • NIKKEI

    28.546,98
    +727,68 (+2,62%)
     
  • NASDAQ

    13.580,00
    +2,25 (+0,02%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    5,2024
    -0,1213 (-2,28%)
     

Twitter: mais de 3 mil apps têm brechas que podem permitir ataques a perfis

  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.
Neste artigo:
  • Opa!
    Algo deu errado.
    Tente novamente mais tarde.

Pelo menos 3,2 mil aplicativos mobile, com integração ao Twitter, possuem falhas de segurança que podem permitir invasões à rede social de seus usuários. O segredo está na exposição pública de chaves ligadas à API do sistema, usada na integração entre as soluções e a plataforma, mas que em mãos erradas, também podem ter uso malicioso.

Softwares de todos os tipos fazem parte do alerta, incluindo soluções de grandes jornais, aplicativos de bancos, softwares focados em exercícios, apps de transporte público e tantos outros, alguns ultrapassando a marca dos cinco milhões de downloads. As permissões concedidas a eles pelos usuários variam, indo desde a possibilidade de realizar publicações, seguir contas até a leitura e envio de mensagens diretas ou alterações nas configurações dos perfis.

Quando usada da forma devida, esse tipo de conexão é o que permite, por exemplo, a um console de vídeo game publicar capturas de tela na rede social ou a um app de exercícios compartilhar os resultados de uma corrida ou sessão de treino diretamente no Twitter. Para que isso funcione, são usadas APIs de integração com a plataforma, cujas chaves, nos casos citados, estão expostas publicamente e poderiam ser usadas, também, para ataques contra as contas dos usuários.

O levantamento foi feito pela empresa de segurança CloudSek, que cita erros na implementação dessa conexão como o motivo do problema. Os especialistas afirmam que essa é uma falha comum no processo de desenvolvimento de softwares integrados, com os responsáveis incluindo suas chaves de autenticação na API mas esquecendo de remover esse dado quando a versão pública da aplicação é liberada.

Total de apps que vazaram combinações chegou a 4,8 mil

De acordo com os achados dos pesquisadores, um total de 4,8 mil aplicativos estavam vazando as combinações de chaves e segredos que permitiriam acesso às contas integradas, mas só 3,2 mil tinham estas combinações válidas. A lista de apps, entretanto, não foi divulgada publicamente, uma vez que todas as explorações ainda estão disponíveis e poderiam ser usadas em ataques — a única exceção foi um app de eventos relacionados à montadora de veículos Ford, que recebeu atualização após ser contatada pelos especialistas.

O principal temor, segundo a CloudSek, é o uso das contas em operações de desinformação e disseminação de spam ou malware. O foco, principalmente, está nas contas verificadas de usuários de serviços integrados vulneráveis, por meio das quais criminosos poderiam realizar postagens e desfigurar perfis para divulgar golpes ou esquemas fraudulentos que infectem mais e mais pessoas.

Enquanto não há nada que um usuário possa fazer para proteger sua conta no caso de um ataque desse tipo, controlar autorizações e o uso de apps integrados ajuda a manter um mínimo de controle. Apenas autorize a conexão com o Twitter em softwares de desenvolvedores reconhecidos e que sigam boas práticas de segurança, mantendo conectados apenas aqueles que efetivamente usa, revogando as permissões de outros por meio das configurações da rede social.

Fonte: Canaltech

Trending no Canaltech:

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos