Cientos de aplicaciones de Android distribuidas a través de Google Play Store han filtrado claves de interfaz de programación de aplicaciones (API), lo que pone a los usuarios en riesgo de robo de identidad (opens in a new tab ) y otras amenazas.
Los riesgos fueron descubiertos por investigadores de ciberseguridad en CloudSEK, quienes utilizaron el motor de búsqueda de seguridad BeVigil de la compañía para analizar 600 aplicaciones en Play Store.
En general, el equipo descubrió que la mitad (50 %) estaba filtrando claves API de los tres principales proveedores de servicios de transacciones y marketing por correo electrónico, lo que ponía a los usuarios en riesgo de fraude o estafa.
MailChimp, SendGrid, MailGun
CloudSEK descubrió que las aplicaciones filtraron las API de MailChimp, SendGrid y Mailgun, lo que permitió a los posibles actores de amenazas enviar correos electrónicos, eliminar claves de API e incluso modificar la autenticación multifactor (MFA). Desde entonces, CloudSEK notificó a los desarrolladores de aplicaciones sobre sus hallazgos.
Entre ellos, las aplicaciones han sido descargadas por 54 millones de personas, que ahora están en riesgo. La mayoría de las víctimas potenciales se encuentran en los Estados Unidos, y el Reino Unido, España, Rusia e India también representan una parte significativa.
“En la arquitectura de software moderna, las API integran nuevos componentes de aplicaciones en la arquitectura existente. Por lo tanto, su seguridad se ha vuelto imperativa”, comentó CloudSEK. "Los desarrolladores de software deben evitar incrustar claves API en sus aplicaciones y deben seguir prácticas seguras de codificación e implementación, como la estandarización de los procedimientos de revisión, la rotación de claves, el enmascaramiento de claves y el uso desde la caja fuerte".
De los tres servicios, se puede decir que MailChimp es el más destacado y, al divulgar las claves API de MailChimp, los desarrolladores de aplicaciones permitirían a los actores de amenazas leer conversaciones de correo electrónico, extraer datos de los clientes, ingresar a listas de correo, ejecutar sus propias campañas de correo electrónico y manipular códigos promocionales.
Además, los piratas informáticos podrían permitir que las aplicaciones de terceros se conecten a una cuenta de MailChimp. En total, los investigadores identificaron 319 claves API, de las cuales más de una cuarta parte (28%) son válidas. Se agregaron doce teclas permitidas para leer correos electrónicos.
Las filtraciones de claves API de MailGun también permiten a los piratas informáticos enviar y leer correos electrónicos, así como obtener credenciales del Protocolo simple de transferencia de correo (SMTP), direcciones IP y varias estadísticas. Además, también podrían filtrar las listas de correo de los clientes.
SendGrid, por otro lado, es una plataforma de comunicaciones que ayuda a las empresas a enviar correos electrónicos transaccionales y de marketing a través de una plataforma de entrega de correo electrónico basada en la nube. Con una fuga de API, los piratas informáticos podrían enviar correos electrónicos, crear claves de API y controlar las direcciones IP utilizadas para acceder a las cuentas.
Через: Журнал Infosecurity (откроется в новой вкладке)