Эксперты по кибербезопасности обнаружили более тысячи мобильных приложений, содержащих неисправный API, из-за которого происходит утечка конфиденциальных конечных точек (открывается в новой вкладке) и пользовательской информации.
Исследователи CloudSEK обнаружили 1550 мобильных приложений, использующих Alogolia, проприетарный API, который помогает мобильным разработчикам интегрировать поисковые системы с функциями поиска и рекомендаций, которые есть на веб-сайтах и в приложениях.
По данным компании, этот API используют более 11.000 XNUMX компаний по всему миру.
злоупотребление служебным положением
Aligolia поставляется с пятью ключами API: управление, поиск, мониторинг, использование и аналитика, и, по мнению исследователей, поиск — единственный ключ, который должен быть общедоступным во внешнем интерфейсе, поскольку он помогает пользователям выполнять поиск в приложении. . Мониторинг обеспечивает доступ к состоянию кластера, использованию и анализу, которые говорят сами за себя, в то время как ключ администратора предоставляет доступ к другим четырем ключам, а также к другим функциям.
Однако исследователи обнаружили, что этими сервисами можно злоупотреблять и, таким образом, раскрывать данные, которыми они манипулируют.
«Хотя ключ API управления позволяет злоумышленникам выполнять несколько важных действий и обеспечивает доступ к конфиденциальным данным, даже с помощью одного или нескольких других ключей API злоумышленники могут искать или просматривать конфиденциальные данные», — сказал один аналитик CloudSEK из BleepingComputer.
«Кроме того, в зависимости от изменений кода в будущих версиях приложений злоумышленники могут получить доступ к более конфиденциальным данным, используя только эти ключи».
Из 1550 рассматриваемых приложений утекли 32 секрета администратора, в том числе 57 уникальных ключей администратора. С их помощью злоумышленник может не только получить доступ к конфиденциальной информации пользователей, которая открывается в новой вкладке, но и управлять журналами приложений и настройками индекса.
В общей сложности приложения, из-за которых был слит пароль администратора, были загружены около 3 250 000 раз. Некоторые приложения имеют более миллиона загрузок. Приложения делятся на самые разные категории: от новостных приложений до приложений для еды, образования, фитнеса, бизнес-приложений и многих других.
CloudSEK не предоставил список затронутых приложений, но сообщил, что связался с их разработчиками и не получил ответа.
Через: BleepingComputer (открывается в новой вкладке)