Z setek aplikacji na Androida dystrybuowanych za pośrednictwem Sklepu Google Play wyciekły klucze interfejsu programowania aplikacji (API), narażając użytkowników na kradzież tożsamości (otwiera się w nowej karcie) i inne zagrożenia.
Zagrożenia zostały odkryte przez badaczy cyberbezpieczeństwa w CloudSEK, którzy wykorzystali firmową wyszukiwarkę bezpieczeństwa BeVigil do przeanalizowania 600 aplikacji w Sklepie Play.
Ogólnie rzecz biorąc, zespół odkrył, że połowa (50%) wyciekała klucze API od trzech największych dostawców usług e-mail marketingu i usług transakcyjnych, narażając użytkowników na oszustwa lub oszustwa.
MailChimp, SendGrid, MailGun
CloudSEK odkrył, że aplikacje ujawniły interfejsy API MailChimp, SendGrid i Mailgun, umożliwiając potencjalnym cyberprzestępcom wysyłanie wiadomości e-mail, usuwanie kluczy API, a nawet modyfikowanie uwierzytelniania wieloskładnikowego (MFA). Od tego czasu CloudSEK powiadomił twórców aplikacji o swoich ustaleniach.
Pomiędzy nimi aplikacje zostały pobrane przez 54 miliony ludzi, którzy są teraz zagrożeni. Większość potencjalnych ofiar znajduje się w Stanach Zjednoczonych, a znaczna część przypada na Wielką Brytanię, Hiszpanię, Rosję i Indie.
„W nowoczesnej architekturze oprogramowania interfejsy API integrują nowe komponenty aplikacji z istniejącą architekturą. Dlatego jego bezpieczeństwo stało się koniecznością” – skomentował CloudSEK. „Programiści powinni unikać osadzania kluczy API w swoich aplikacjach i powinni przestrzegać bezpiecznych praktyk kodowania i wdrażania, takich jak standaryzacja procedur przeglądu, rotacja kluczy, maskowanie kluczy i używanie ze skarbca”.
Spośród trzech usług MailChimp jest prawdopodobnie najbardziej znaną, a ujawniając klucze API MailChimp, twórcy aplikacji pozwoliliby cyberprzestępcom czytać rozmowy e-mailowe, wydobywać dane klientów, dostawać się na listy mailingowe, pocztę, prowadzić własne kampanie e-mailowe i manipulować promocjami. kody.
Ponadto hakerzy mogą zezwolić aplikacjom innych firm na łączenie się z kontem MailChimp. W sumie badacze zidentyfikowali 319 kluczy API, z których ponad jedna czwarta (28%) jest poprawna. Dodano dwanaście klawiszy umożliwiających odczytywanie wiadomości e-mail.
Wycieki kluczy API MailGun umożliwiają również hakerom wysyłanie i odczytywanie wiadomości e-mail, a także uzyskiwanie poświadczeń SMTP, adresów IP i różnych statystyk. Ponadto mogli również filtrować listy mailingowe klientów.
Z drugiej strony SendGrid to platforma komunikacyjna, która pomaga firmom wysyłać e-maile marketingowe i transakcyjne za pośrednictwem opartej na chmurze platformy dostarczania poczty e-mail. W przypadku wycieku API hakerzy mogą wysyłać e-maile, tworzyć klucze API i kontrolować adresy IP używane do uzyskiwania dostępu do kont.
Przez: Magazyn Infosecurity (otwiera się w nowej zakładce)