В сотнях приложений Android, распространяемых через Google Play Store, произошла утечка ключей интерфейса прикладного программирования (API), что подвергает пользователей риску кражи личных данных (откроется в новой вкладке) и другим угрозам.
Риски были обнаружены исследователями кибербезопасности из CloudSEK, которые использовали поисковую систему безопасности BeVigil для анализа 600 приложений в Play Store.
В целом команда обнаружила, что половина (50%) занималась утечкой ключей API от трех крупнейших поставщиков услуг электронного маркетинга и транзакций, что подвергало пользователей риску мошенничества или мошенничества.
MailChimp, SendGrid, MailGun
CloudSEK обнаружил, что из приложений произошла утечка API-интерфейсов MailChimp, SendGrid и Mailgun, что позволяет потенциальным злоумышленникам отправлять электронные письма, удалять ключи API и даже изменять многофакторную аутентификацию (MFA). CloudSEK с тех пор уведомил разработчиков приложений о своих выводах.
В общей сложности приложения скачали 54 миллиона человек, которые сейчас находятся в группе риска. Большинство потенциальных жертв находятся в США, значительная часть также приходится на Великобританию, Испанию, Россию и Индию.
«В современной архитектуре программного обеспечения API-интерфейсы интегрируют новые компоненты приложений в существующую архитектуру. Поэтому его безопасность стала необходимостью», — прокомментировал CloudSEK. «Разработчикам программного обеспечения следует избегать встраивания ключей API в свои приложения и следует соблюдать методы безопасного кодирования и развертывания, такие как стандартизация процедур проверки, ротация ключей, маскирование ключей и использование из хранилища».
Из трех сервисов MailChimp, пожалуй, является наиболее известным, и, раскрывая ключи API MailChimp, разработчики приложений позволят злоумышленникам читать переписку по электронной почте, извлекать данные клиентов, получать доступ к спискам рассылки, почте, запускать собственные кампании по электронной почте и манипулировать промокодами.
Кроме того, хакеры могут разрешить сторонним приложениям подключаться к учетной записи MailChimp. Всего исследователи выявили 319 ключей API, из которых более четверти (28%) действительны. Добавлено двенадцать клавиш для чтения электронной почты.
Утечки ключей API MailGun также позволяют хакерам отправлять и читать электронные письма, а также получать учетные данные SMTP, IP-адреса и различную статистику. Кроме того, они также могут фильтровать списки рассылки клиентов.
SendGrid, с другой стороны, представляет собой коммуникационную платформу, которая помогает предприятиям отправлять транзакционные и маркетинговые электронные письма через облачную платформу доставки электронной почты. Благодаря утечке API хакеры могут отправлять электронные письма, создавать ключи API и контролировать IP-адреса, используемые для доступа к учетным записям.
Через: Журнал Infosecurity (откроется в новой вкладке)