Эти популярные мобильные приложения сливают очень ценную информацию

Эти популярные мобильные приложения сливают очень ценную информацию

23 ноября 2022 г.

Эксперты по кибербезопасности обнаружили более тысячи мобильных приложений с некорректным API, из которых происходит утечка конфиденциальной информации конечная точка и информация о пользователе.

Исследователи из CloudSEK обнаружили 1550 мобильных приложений, использующих Alogolia, проприетарный API, который помогает разработчикам мобильных устройств интегрировать поисковые системы с функциями обнаружения и рекомендаций, которые есть на веб-сайтах и ​​в приложениях.

По данным компании, этот API используют более 11 000 компаний по всему миру.

Злоупотребление услугами

Aligolia поставляется с пятью ключами API: "Администрирование", "Поиск", "Мониторинг", "Использование" и "Аналитика". приложение. Мониторинг позволяет получить доступ к статусу кластера, использование и аналитика говорят сами за себя, а ключ администратора дает доступ к остальным четырем ключам, а также к ряду других функций.

Теперь исследователи обнаружили, что этими службами можно злоупотреблять и таким образом раскрывать данные, с которыми они работают.

«Хотя ключ API администратора позволяет злоумышленникам выполнять несколько важных действий и обеспечивает доступ к конфиденциальным данным, даже с одним или несколькими другими ключами API, злоумышленники могут искать или просматривать конфиденциальные данные», — сказал BleepingComputer аналитик CloudSEK.

"Кроме того, в зависимости от изменений кода в будущих версиях приложений злоумышленники могут получить доступ к более конфиденциальным данным, используя только эти ключи."

Из 1550 рассматриваемых приложений секреты администратора были раскрыты в 32, включая 57 уникальных ключей администратора. С их помощью злоумышленник может не только получить доступ к конфиденциальной информации пользователя, но также поиграйте с записями и настройками индекса приложений.

В общей сложности приложения, в которых происходит утечка ключа администратора, были загружены примерно 3 250 000 раз. Было сказано, что некоторые приложения имеют более миллиона загрузок. Приложения делятся на самые разные категории: от новостных приложений, приложений для еды и напитков до образования, фитнеса, бизнес-приложений и многих других.

CloudSEK не предоставила список затронутых приложений, но сообщила, что связалась с их разработчиками и не получила ответа.

PREVIOUS ARTICLE
NEXT ARTICLE