Twitter: mais de 3 mil apps têm brechas que podem permitir ataques a perfis

Pelo menos 3,2 mil aplicativos mobile, com integração ao Twitter, possuem falhas de segurança que podem permitir invasões à rede social de seus usuários. O segredo está na exposição pública de chaves ligadas à API do sistema, usada na integração entre as soluções e a plataforma, mas que em mãos erradas, também podem ter uso malicioso.

• Confira 10 passos para fugir de crimes e golpes nas redes sociais
• 8 dicas para melhorar a segurança e a privacidade da sua conta do Facebook

Softwares de todos os tipos fazem parte do alerta, incluindo soluções de grandes jornais, aplicativos de bancos, softwares focados em exercícios, apps de transporte público e tantos outros, alguns ultrapassando a marca dos cinco milhões de downloads. As permissões concedidas a eles pelos usuários variam, indo desde a possibilidade de realizar publicações, seguir contas até a leitura e envio de mensagens diretas ou alterações nas configurações dos perfis.

Quando usada da forma devida, esse tipo de conexão é o que permite, por exemplo, a um console de vídeo game publicar capturas de tela na rede social ou a um app de exercícios compartilhar os resultados de uma corrida ou sessão de treino diretamente no Twitter. Para que isso funcione, são usadas APIs de integração com a plataforma, cujas chaves, nos casos citados, estão expostas publicamente e poderiam ser usadas, também, para ataques contra as contas dos usuários.

O levantamento foi feito pela empresa de segurança CloudSek, que cita erros na implementação dessa conexão como o motivo do problema. Os especialistas afirmam que essa é uma falha comum no processo de desenvolvimento de softwares integrados, com os responsáveis incluindo suas chaves de autenticação na API mas esquecendo de remover esse dado quando a versão pública da aplicação é liberada.

Total de apps que vazaram combinações chegou a 4,8 mil

De acordo com os achados dos pesquisadores, um total de 4,8 mil aplicativos estavam vazando as combinações de chaves e segredos que permitiriam acesso às contas integradas, mas só 3,2 mil tinham estas combinações válidas. A lista de apps, entretanto, não foi divulgada publicamente, uma vez que todas as explorações ainda estão disponíveis e poderiam ser usadas em ataques — a única exceção foi um app de eventos relacionados à montadora de veículos Ford, que recebeu atualização após ser contatada pelos especialistas.

O principal temor, segundo a CloudSek, é o uso das contas em operações de desinformação e disseminação de spam ou malware. O foco, principalmente, está nas contas verificadas de usuários de serviços integrados vulneráveis, por meio das quais criminosos poderiam realizar postagens e desfigurar perfis para divulgar golpes ou esquemas fraudulentos que infectem mais e mais pessoas.

Enquanto não há nada que um usuário possa fazer para proteger sua conta no caso de um ataque desse tipo, controlar autorizações e o uso de apps integrados ajuda a manter um mínimo de controle. Apenas autorize a conexão com o Twitter em softwares de desenvolvedores reconhecidos e que sigam boas práticas de segurança, mantendo conectados apenas aqueles que efetivamente usa, revogando as permissões de outros por meio das configurações da rede social.

Fonte: CloudSek