Сотни приложений для Android, распространяемых через Google Play Store, имеют утечку ключей интерфейса прикладного программирования (API), что подвергает пользователей риску кражи личных данных (opens in a new tab) и других угроз.
Риски были обнаружены исследователями кибербезопасности из CloudSEK, которые использовали поисковую систему безопасности компании BeVigil для анализа 600 приложений в Play Store.
В целом команда обнаружила, что половина (50%) утекали ключи API от трех ведущих поставщиков услуг электронного маркетинга и транзакций, подвергая пользователей риску мошенничества или мошенничества.
MailChimp, SendGrid, MailGun
CloudSEK обнаружил, что приложения утекли API-интерфейсы MailChimp, SendGrid и Mailgun, что позволило потенциальным злоумышленникам отправлять электронную почту, удалять ключи API и даже изменять многофакторную аутентификацию (MFA). С тех пор CloudSEK уведомил разработчиков приложений о своих выводах.
Между ними приложения скачали 54 миллиона человек, которые сейчас находятся в группе риска. Большинство потенциальных жертв находятся в Соединенных Штатах, причем значительная часть приходится на Великобританию, Испанию, Россию и Индию.
«В современной программной архитектуре API-интерфейсы интегрируют новые компоненты приложений в существующую архитектуру. Поэтому его безопасность стала настоятельной необходимостью», — прокомментировал CloudSEK. «Разработчики программного обеспечения должны избегать встраивания ключей API в свои приложения и должны следовать безопасным методам кодирования и развертывания, таким как стандартизация процедур проверки, ротация ключей, маскировка ключей и использование из хранилища».
Из этих трех сервисов MailChimp, возможно, является наиболее известным, и, раскрывая ключи API MailChimp, разработчики приложений позволят злоумышленникам читать переписку по электронной почте, извлекать данные о клиентах, входить в списки рассылки, отправлять почту, запускать собственные кампании по электронной почте и манипулировать рекламными кампаниями. коды.
Кроме того, хакеры могут разрешить сторонним приложениям подключаться к учетной записи MailChimp. Всего исследователи определили 319 API-ключей, из которых более четверти (28%) являются действительными. Добавлено двенадцать клавиш, позволяющих читать электронные письма.
Утечки ключей API MailGun также позволяют хакерам отправлять и читать электронную почту, а также получать учетные данные Simple Mail Transfer Protocol (SMTP), IP-адреса и различную статистику. Кроме того, они также могут фильтровать списки рассылки клиентов.
SendGrid, с другой стороны, представляет собой коммуникационную платформу, которая помогает предприятиям отправлять маркетинговые и транзакционные электронные письма через облачную платформу доставки электронной почты. Благодаря утечке API хакеры могут отправлять электронные письма, создавать ключи API и контролировать IP-адреса, используемые для доступа к учетным записям.
Через: Журнал Infosecurity (откроется в новой вкладке)
