O Twitter permite que a rede social seja utilizada por apps de terceiros. Esse processo é realizado com o auxílio da API, uma espécie de ponte entre a rede social e plataformas de outros desenvolvedores. Mas é preciso ficar atento: uma análise da CloudSEK revelou que mais de três mil aplicativos deixaram as chaves de API expostas, colocando diversas contas em risco à invasões e outros incidentes.
A descoberta é fruto do BeVigil, um mecanismo de busca de segurança para apps móveis da empresa de cibersegurança. O relatório revelado nesta segunda-feira (1º) aponta que, das 10.636 companhias que tiveram as chaves reveladas, 4.810 empresas tiveram as chaves de consumo e secreta expostas. De todo esse montante, 3.207 apps tinham as credenciais válidas.
O número pode ser pequeno em relação ao universo da rede social, mas não deixa de ser preocupante. Afinal, a API é um conjunto de padrões para facilitar a troca de informações entre sistemas. Assim, os desenvolvedores podem criar seus apps e conectá-los ao Twitter, para expandir a integração e a experiência da rede social.
Essas chaves garantem o acesso à conta de uma pessoa ou empresa. Por exemplo, ao configurar o Instagram para soltar um link no Twitter ao publicar uma foto ou vídeo novo, você utiliza a API para fazer essa conexão. O mesmo acontece com o Tweetbot, por exemplo, que é um software para quem não gosta do app oficial da rede social.
E é aí que vem o pulo do gato: ao deixar as chaves expostas, cibercriminosos podem usá-las para invadir contas. Esse é justamente um dos argumentos levantados pelo relatório da CloudSEK, quando lembra que diversas contas conectadas a esses aplicativos podem ser acessadas indevidamente. Dá até para criar um exército de bots com perfis verificados com tanto poder nas mãos de hackers.
39 apps tem acesso quase irrestrito às contas
Claro, isto depende de diversos fatores. Em primeiro lugar, nem todos os apps de Twitter têm permissão para fazer publicações, muito menos alterar contas. Em segundo, o perfil precisa estar conectado àquele aplicativo para, possivelmente, ser acessado por cibercriminosos em seguida.
O problema é que, durante a análise, a empresa de cibersegurança encontrou 39 apps com chaves válidas que oferecem acesso quase que irrestrito às contas. Isto significa que esses apps permitem a execução de ações críticas, como acesso às mensagens, publicação de tweets, seguir qualquer perfil, alterar configurações da conta, entre outras. "Algumas das credenciais vazadas pertenciam a contas verificadas do Twitter", avisaram. O estudo não informou o nome dos apps por motivos de segurança.
Calma: a API do Twitter é segura
Não criemos pânico. Antes de tudo, é importante ressaltar que a API do Twitter é segura. O problema se encontra nos próprios apps: "muitas vezes, essa vulnerabilidade é resultado de um erro por parte do desenvolvedor. Ao desenvolver um aplicativo móvel, os desenvolvedores usam a API do Twitter para teste", diz o estudo. "Ao fazer isso, eles salvam as credenciais no app".
E é justamente por conta desse fator que as chaves são acessadas. "Às vezes, essas credenciais não são removidas antes de implantá-las no ambiente de produção", afirmaram. "Depois que o aplicativo é carregado na Play Store, os segredos da API estão disponíveis para qualquer pessoa acessar".
Todavia, este processo não é simples. Afinal, o hacker precisa descompilar o aplicativo para acessar as informações da API. Isto também não significa que, dentro do app, haverá um arquivo com contas e senhas. Ou seja, será preciso desenvolver um outro software com as mesmas chaves para fazer a invasão – ou construir o exército de bots, como é exemplificado pelo estudo.
Desenvolvedores precisam ficam atentos
Felizmente, a análise aponta a solução do problema. E é bem simples: "é imperativo que as chaves de API não sejam incorporadas diretamente no código", diz o relatório. O estudo ainda aponta que é preciso seguir processos de desenvolvimento seguros, como a padronização de procedimentos de revisão, além das rotinas para esconder chaves e a adoção das chaves rotativas.
Da ponta do usuário, também é importante revisar continuamente quais apps têm acesso à conta. Outra medida para aprimorar a segurança da conta é ativar a autenticação em duas etapas.