I ricercatori della piattaforma CloudSEK hanno scoperto che più di 3.200 app presentano un problema di sviluppo che può influire notevolmente sulla sicurezza degli utenti su Twitter. Questo perché questo difetto di privacy espone le API del social network in pubblico, consentendo agli hacker di entrare negli account ed essere in grado di estrarre informazioni sul profilo, leggere messaggi diretti, mettere mi piace e retweet, seguire qualsiasi account, ecc., aprendo la porta alla creazione di un potenziale “esercito di bot”, hanno affermato i ricercatori.
Fortunatamente, il numero di app che danno agli hacker tutto questo potere è una fetta minore del totale, circa 320 programmi. Si tratta comunque di un numero consistente e la società di sicurezza non ha rilasciato un elenco di questi perché ha contattato gli sviluppatori per far loro risolvere il problema. Finora, solo un’applicazione Ford (Ford Events) è stata patchata per rendere più sicure le credenziali degli utenti.
Un altro fatto degno di nota è che gli account Twitter esposti non sono, infatti, quelli degli utenti che hanno scaricato l’app (e che hanno effettuato il login tramite la rete, ad esempio), ma gli account Twitter degli stessi sviluppatori dell’app. Se da un lato possiamo essere più tranquilli sulla privacy individuale, dall’altro i profili grandi e verificati possono, da un momento all’altro, diventare veicoli di disinformazione.
Esiste ancora il rischio che gli account vengano utilizzati per promuovere truffe di criptovaluta, ad esempio, o che trapelano informazioni riservate estratte dai DM.
“Integrando le app mobile con Twitter, gli sviluppatori riceveranno chiavi di autenticazione speciali, o token, che consentono alle loro app mobile di interagire con l’API di Twitter. Quando un utente associa il proprio account Twitter a questa app mobile, le chiavi consentono anche all’applicazione di agire per conto dell’utente, come l’accesso tramite Twitter, la creazione di tweet, l’invio di messaggi diretti, ecc.”, spiegano i ricercatori di CloudSEK.
Alcune delle app vulnerabili hanno più di 5 milioni di download negli store online e includono soluzioni di trasporto urbano, sintonizzatori radio, lettori di ebook, giornali, app bancarie, GPS e altri.