В сотнях приложений для Android обнаружена утечка ключей API, что подвергает пользователей риску

В сотнях приложений для Android обнаружена утечка ключей API, что подвергает пользователей риску

20 декабря 2022 г.

В сотнях приложений Android, распространяемых через Google Play Store, обнаружена утечка ключей интерфейса прикладного программирования (API), что подвергает пользователей риску кража личных данных и другие угрозы.

Эти риски были обнаружены исследователями кибербезопасности из CloudSEK, которые использовали поисковую систему безопасности BeVigil для анализа 600 приложений в Play Маркете.

В целом команда обнаружила, что половина (50%) утечек ключей API трех основных транзакций и почтовый маркетинг поставщиков услуг, подвергающих пользователей риску мошенничества или мошенничества.

MailChimp, SendGrid, MailGun

Компания CloudSEK обнаружила, что приложения пропускают API-интерфейсы из MailChimp, SendGrid и Mailgun, что позволяет потенциальным злоумышленникам отправлять электронные письма, удалять ключи API и даже изменять многофакторную аутентификацию (MFA). С тех пор CloudSEK уведомил разработчиков приложений о своих выводах.

За это время приложения скачали 54 миллиона человек, которые теперь находятся в опасности. Большинство потенциальных жертв находятся в Соединенных Штатах, причем значительная часть приходится на Великобританию, Испанию, Россию и Индию.

«В современной программной архитектуре API-интерфейсы интегрируют новые компоненты приложений в существующую архитектуру. Поэтому его безопасность стала императивом», — прокомментировал CloudSEK. «Разработчики программного обеспечения должны избегать встраивания ключей API в свои приложения и должны следовать безопасным методам кодирования и развертывания, таким как стандартизация процедур проверки, ротация ключей, скрытие ключей и использование хранилища».

Среди этих трех сервисов MailChimp, возможно, является самым крупным, и, раскрывая ключи API MailChimp, разработчики приложений позволяют злоумышленникам читать переписку по электронной почте, эксфильтровать данные клиентов, получать списки адресов электронной почты, запускать отправлять по электронной почте собственные кампании и манипулировать промокодами.

Кроме того, хакеры могут авторизовать сторонние приложения, подключенные к MailChimp. учетная запись. Всего исследователи определили 319 API-ключей, из которых более четверти (28%) являются действительными. Добавлено двенадцать ключей для чтения электронной почты.

Утечка ключей API MailGun также позволяет злоумышленникам отправлять и читать электронные письма, а также получать учетные данные Simple Mail Transfer Protocol (SMTP), IP-адреса, а также различную статистику. Кроме того, они также смогут эксфильтровать списки рассылки клиентов.

SendGrid, с другой стороны, представляет собой коммуникационную платформу, которая помогает компаниям доставлять транзакционные и маркетинговые электронные письма через облачную платформу доставки электронной почты. . Благодаря утечке API хакеры смогут отправлять электронные письма, создавать ключи API и контролировать IP-адреса, используемые для доступа к аккаунтам.

Через: журнал Infosecurity


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE