提防连接到您的Twitter帐户的应用程序,它们可能是海盗的真正金矿。确实,Cloudsek网络安全研究人员发现了3200多个应用程序中存在的缺陷,这仅允许访问用户身份验证键。尽管有警报,但其中大多数尚未纠正脆弱性。
Cloudsek网络安全专家的新发现很冷。根据他们的估计,至少有3207个智能手机应用程序包含一个缺陷,使任何海盗都可以轻松控制用户的Twitter帐户。研究人员解释说,在应用程序中的Twitter集成过程中,开发人员具有身份验证键,也称为令牌,这使他们可以与社交网络的API进行交互。
正是这些代币允许最终用户与Twitter进行交互,无论是连接还是发布推文,等等。换句话说,这些令牌非常强大,因此,如果恶意的人占有它们,尤其是危险的。这就是为什么绝大多数开发人员不会将其令牌存储在其应用程序中,以防止黑客通过搜索源代码来查找它们的原因。
在同一主题上:Twitter因操纵用户而被罚款1.4亿欧元
这3207个应用程序危害您的Twitter帐户
但是,他们中的一些人只是在提出其申请之前就忘记了撤回。这就是这3207个应用程序发生的事情。 Cloudsek强调,后者的次数为50,000和500万。该组织不希望分享完整的列表,因为其中绝大多数尚未纠正安全缺陷。
但是,它规定这些是运输,报纸,银行,广播,读者甚至议程申请。如果您有这种类型的应用程序,并且您的Twitter帐户与之关联,则强烈建议您断开连接以避免最坏情况。 Cloudsek提醒有关违规行为未关闭的风险的警报,特别是因为Twitter验证的虚假帐户大军传播骗局或假新闻,即使近几个月来,这些已消失在社交网络的73%。
