Milhares de aplicações estão a expor as suas chaves API do Twitter

Mesmo que não seja diretamente o programador de apps no Twitter, pode ter a sua conta afetada caso tenha ligado alguma app à mesma através da API da empresa. E recentemente um grupo de investigadores revelou ter descoberto que 3207 apps que usam a API do Twitter podem estar a divulgar as suas chaves indevidamente.

Isto será um problema sobretudo por estas apps permitirem ações de gestão da conta, entre as quais o envio de mensagens e Tweets. Ou seja, se uma app for comprometida, e o utilizador a tiver ligado na sua conta do Twitter, poderá ser igualmente afetada.

De acordo com os investigadores da empresa de segurança CloudSEK, pelo menos 3207 apps do Twitter foram descobertas como estando a revelar indevidamente as suas chaves da API, o que dará permissões para o uso das mesmas nos mais variados fins. Em parte, as chaves estariam a ser divulgadas por estarem integradas diretamente nas aplicações que são desenhadas para as usar.

Por exemplo, mantendo as chaves num ficheiro interno da aplicação, ou num ficheiro dedicado de configuração, que pode ser acedido por terceiros. Isto pode levar a que, quem obtenha acesso às chaves, possa também tirar partido de todas as contas que se ligaram a essa aplicação.

Tendo em conta que algumas das apps descobertas possuem permissões para enviar tweets e mensagens diretas, isso pode abrir portas para o possível envio de spam ou phishing.

De acordo com a CloudSEK, estas aplicações que se encontram vulneráveis possuem entre 50.000 e 5.000.000 downloads nas diferentes plataformas onde se encontram, pelo que existe o potencial para afetar um largo conjunto de utilizadores. Estas dispersam-se entre apps de leitura de livros, registo de eventos, leitores de jornais, tracking de desporto, entre outras.

O mais grave será que, apesar de a empresa de segurança ter contactado os programadores das aplicações sobre a falha, muitas das mesmas não deixaram qualquer resposta ao caso.