Eksperci ds. cyberbezpieczeństwa wykryli ponad tysiąc aplikacji mobilnych, które zawierają wadliwy interfejs API, który powoduje wyciek wrażliwych punktów końcowych (otwiera się w nowej karcie) i informacji o użytkownikach.

Badacze CloudSEK znaleźli 1550 aplikacji mobilnych korzystających z Alogolii, zastrzeżonego interfejsu API, który pomaga programistom mobilnym integrować wyszukiwarki z funkcjami wykrywania i rekomendacji dostępnymi na stronach internetowych i aplikacjach.

Według firmy ten interfejs API jest używany przez ponad 11.000 XNUMX firm na całym świecie.

nadużycie usługi

Aligolia jest dostarczana z pięcioma kluczami API: Management, Search, Monitoring, Usage i Analytics, a według badaczy Search jest jedynym kluczem, który powinien być publicznie dostępny w interfejsie użytkownika, ponieważ pomaga użytkownikom wyszukiwać w aplikacji . Monitorowanie zapewnia dostęp do stanu klastra, użycia i analizy są oczywiste, podczas gdy klucz administratora zapewnia dostęp do pozostałych czterech kluczy, a także innych funkcji.

Jednak badacze odkryli, że możliwe jest nadużycie tych usług, a tym samym ujawnienie danych, którymi manipulują.

„Podczas gdy klucz Management API Key umożliwia podmiotom zajmującym się zagrożeniami wykonanie kilku krytycznych działań i zapewnia dostęp do poufnych danych, nawet przy użyciu jednego lub kilku innych kluczy API, podmioty cyberprzestępcze mogą wyszukiwać lub przeglądać wrażliwe dane” — powiedział jeden z analityków CloudSEK w firmie BleepingComputer.

„Ponadto, w zależności od zmian kodu w przyszłych wersjach aplikacji, cyberprzestępcy mogą mieć dostęp do bardziej wrażliwych danych przy użyciu tylko tych kluczy”.

Spośród 1550 aplikacji, o których mowa, wyciekły 32 tajemnice administratora, w tym 57 unikalnych kluczy administratora. Dzięki nim cyberprzestępca mógł nie tylko uzyskać dostęp do poufnych informacji użytkowników — otwiera się w nowej karcie, ale także manipulować dziennikami aplikacji i ustawieniami indeksu.

W sumie aplikacje, które ujawniły hasło administratora, zostały pobrane około 3 250 000 razy. Mówi się, że niektóre aplikacje mają ponad milion pobrań. Aplikacje dzielą się na różne kategorie, od aplikacji informacyjnych po aplikacje spożywcze, edukacyjne, fitness, aplikacje biznesowe i wiele innych.

CloudSEK nie dostarczył listy aplikacji, których dotyczy problem, ale powiedział, że skontaktował się z ich programistami i nie otrzymał odpowiedzi.

Przez: BleepingComputer (Otwiera się w nowej karcie)

Udostępnij to