Eksperci ds. cyberbezpieczeństwa wykryli ponad tysiąc aplikacji mobilnych, które zawierają wadliwy interfejs API, który powoduje wyciek wrażliwych punktów końcowych (otwiera się w nowej karcie) i informacji o użytkownikach.
Badacze CloudSEK znaleźli 1550 aplikacji mobilnych korzystających z Alogolii, zastrzeżonego interfejsu API, który pomaga programistom mobilnym integrować wyszukiwarki z funkcjami wykrywania i rekomendacji dostępnymi na stronach internetowych i aplikacjach.
Według firmy ten interfejs API jest używany przez ponad 11.000 XNUMX firm na całym świecie.
nadużycie usługi
Aligolia jest dostarczana z pięcioma kluczami API: Management, Search, Monitoring, Usage i Analytics, a według badaczy Search jest jedynym kluczem, który powinien być publicznie dostępny w interfejsie użytkownika, ponieważ pomaga użytkownikom wyszukiwać w aplikacji . Monitorowanie zapewnia dostęp do stanu klastra, użycia i analizy są oczywiste, podczas gdy klucz administratora zapewnia dostęp do pozostałych czterech kluczy, a także innych funkcji.
Jednak badacze odkryli, że możliwe jest nadużycie tych usług, a tym samym ujawnienie danych, którymi manipulują.
„Podczas gdy klucz Management API Key umożliwia podmiotom zajmującym się zagrożeniami wykonanie kilku krytycznych działań i zapewnia dostęp do poufnych danych, nawet przy użyciu jednego lub kilku innych kluczy API, podmioty cyberprzestępcze mogą wyszukiwać lub przeglądać wrażliwe dane” — powiedział jeden z analityków CloudSEK w firmie BleepingComputer.
„Dodatkowo, w zależności od zmian w kodzie w przyszłych wersjach aplikacji, ugrupowania zagrażające mogą uzyskać dostęp do bardziej wrażliwych danych wyłącznie przy użyciu tych kluczy”.
Spośród 1550 aplikacji, o których mowa, wyciekły 32 tajemnice administratora, w tym 57 unikalnych kluczy administratora. Dzięki nim cyberprzestępca mógł nie tylko uzyskać dostęp do poufnych informacji użytkowników — otwiera się w nowej karcie, ale także manipulować dziennikami aplikacji i ustawieniami indeksu.
W sumie aplikacje, które ujawniły hasło administratora, zostały pobrane około 3 250 000 razy. Mówi się, że niektóre aplikacje mają ponad milion pobrań. Aplikacje dzielą się na różne kategorie, od aplikacji informacyjnych po aplikacje spożywcze, edukacyjne, fitness, aplikacje biznesowe i wiele innych.
CloudSEK nie dostarczył listy aplikacji, których dotyczy problem, ale powiedział, że skontaktował się z ich programistami i nie otrzymał odpowiedzi.
Przez: BleepingComputer (Otwiera się w nowej karcie)