Эти популярные мобильные приложения сливают очень ценную информацию
23 ноября 2022 г.Эксперты по кибербезопасности обнаружили более тысячи мобильных приложений с некорректным API, из которых происходит утечка конфиденциальной информации конечная точка и информация о пользователе.
Исследователи из CloudSEK обнаружили 1550 мобильных приложений, использующих Alogolia, проприетарный API, который помогает разработчикам мобильных устройств интегрировать поисковые системы с функциями обнаружения и рекомендаций, которые есть на веб-сайтах и в приложениях.
По данным компании, этот API используют более 11 000 компаний по всему миру.
Злоупотребление услугами
Aligolia поставляется с пятью ключами API: "Администрирование", "Поиск", "Мониторинг", "Использование" и "Аналитика". приложение. Мониторинг позволяет получить доступ к статусу кластера, использование и аналитика говорят сами за себя, а ключ администратора дает доступ к остальным четырем ключам, а также к ряду других функций.
Теперь исследователи обнаружили, что этими службами можно злоупотреблять и таким образом раскрывать данные, с которыми они работают.
«Хотя ключ API администратора позволяет злоумышленникам выполнять несколько важных действий и обеспечивает доступ к конфиденциальным данным, даже с одним или несколькими другими ключами API, злоумышленники могут искать или просматривать конфиденциальные данные», — сказал BleepingComputer аналитик CloudSEK.
"Кроме того, в зависимости от изменений кода в будущих версиях приложений злоумышленники могут получить доступ к более конфиденциальным данным, используя только эти ключи."
Из 1550 рассматриваемых приложений секреты администратора были раскрыты в 32, включая 57 уникальных ключей администратора. С их помощью злоумышленник может не только получить доступ к конфиденциальной информации пользователя, но также поиграйте с записями и настройками индекса приложений.
В общей сложности приложения, в которых происходит утечка ключа администратора, были загружены примерно 3 250 000 раз. Было сказано, что некоторые приложения имеют более миллиона загрузок. Приложения делятся на самые разные категории: от новостных приложений, приложений для еды и напитков до образования, фитнеса, бизнес-приложений и многих других.
CloudSEK не предоставила список затронутых приложений, но сообщила, что связалась с их разработчиками и не получила ответа.
- Познакомьтесь с лучшими инструментами обеспечения конфиденциальности прямо сейчас < /ул>
Через: BleepingComputer
Оригинал