3516 подписчиков
#news Исследователи насчитали более 3,200 мобильных приложений, интегрированных с Твиттером, сливающих API-ключи из-за ошибок в коде. Чаще всего, разработчики просто забывают убрать токены после интеграции с платформой, и они хранятся в открытом виде в приложении.
Доступ к ключам позволяет злоумышленникам угнать связанные аккаунты и, скажем, распространять через тысячников криптоскамы, фейки и малварь. Между тем в широком списке приложений от банковских до читалок и вело-GPS цифры вплоть до 5 миллионов скачиваний. И практически никто не то что не починил уязвимость, но спустя месяц даже не отреагировал на репорт о ней. Одни только Ford Motors ответили и выкатили патч. Остальные уязвимые приложения не раскрывают, так что сегодня без митрегейтов.
@tomhunter
Около минуты
2 августа 2022