Odkryto, że setki aplikacji na Androida wyciekają klucze API, narażając użytkowników na niebezpieczeństwo

Odkryto, że setki aplikacji na Androida dystrybuowanych za pośrednictwem Google Play Store wyciekają klucze API (Application Programming Interface), narażając użytkowników na kradzież tożsamości i inne zagrożenia.

Ryzyko zostało wykryte przez badaczy bezpieczeństwa w CloudSEK, którzy wykorzystali firmową wyszukiwarkę bezpieczeństwa BeVigil do analizy 600 aplikacji w Sklepie Play. W sumie zespół stwierdził, że połowa (50%) wyciekała klucze API trzech czołowych dostawców usług transakcyjnych i usług e-mail, narażając użytkowników na ryzyko oszustwa lub wyłudzenia.

CloudSEK odkrył, że aplikacje wyciekały interfejsy API z MailChimp, SendGrid i Mailgun, umożliwiając potencjalnym hakerom wysyłanie e-maili, usuwanie kluczy API, a nawet modyfikowanie uwierzytelniania wieloczynnikowego (MFA). CloudSEK od tego czasu powiadomił twórców aplikacji o swoich odkryciach. Łącznie aplikacje zostały pobrane przez 54 miliony osób, które są teraz zagrożone. Większość potencjalnych ofiar znajduje się w Stanach Zjednoczonych, przy czym Wielka Brytania, Hiszpania, Rosja i Indie, również stanowią pokaźną część.

„W nowoczesnej architekturze oprogramowania, API integrują nowe komponenty aplikacji z istniejącą architekturą. Dlatego ich bezpieczeństwo stało się koniecznością” – komentuje CloudSEK. „Twórcy oprogramowania muszą unikać osadzania kluczy API w swoich aplikacjach i powinni przestrzegać bezpiecznych praktyk kodowania i wdrażania, takich jak standaryzacja procedur przeglądu, rotacja kluczy, ukrywanie kluczy i używanie skarbca”.

Pomiędzy trzema usługami, MailChimp jest prawdopodobnie największy, a poprzez wyciek kluczy API MailChimp, deweloperzy aplikacji pozwoliliby hakerom na czytanie konwersacji e-mail, eksfiltrację danych klientów, chwytanie list e-mailowych, uruchamianie własnych kampanii e-mailowych i manipulowanie kodami promocyjnymi.

Ponadto hakerzy mogliby autoryzować aplikacje stron trzecich podłączone do konta MailChimp. W sumie badacze zidentyfikowali 319 kluczy API, przy czym ponad jedna czwarta (28%) była ważna. Dwanaście kluczy umożliwiało odczytanie wiadomości e-mail, dodano.

Wyciek kluczy API MailGun pozwala również hakerom na wysyłanie i czytanie e-maili, ale także na uzyskanie poświadczeń Simple Mail Transfer Protocol (SMTP), adresów IP, a także różnych statystyk. Co więcej, mogliby oni również eksfiltrować listy mailingowe klientów.

SendGrid, z drugiej strony, jest platformą komunikacyjną, która pomaga firmom dostarczać transakcyjne i marketingowe wiadomości e-mail za pośrednictwem platformy dostarczania wiadomości e-mail w chmurze. Dzięki wyciekowi API hakerzy mogliby wysyłać wiadomości e-mail, tworzyć klucze API i kontrolować adresy IP używane do uzyskiwania dostępu do kont.