В сотнях приложений для Android обнаружена утечка ключей API

В сотнях приложений для Android, распространяемых через Google Play Store, была обнаружена утечка ключей интерфейса прикладного программирования (API). Это подвергает пользователей риску кражи личных данных и другие угрозы.

В сотнях приложений для Android обнаружена утечка ключей API. Фото: СС0

Уязвимость была обнаружена исследователями кибербезопасности из CloudSEK, которые использовали поисковую систему безопасности компании BeVigil для анализа 600 приложений в Play Store.

В целом команда обнаружила, что половина (50%) утечек API-ключей трех ведущих поставщиков услуг транзакций и маркетинга по электронной почте подвергают пользователей риску мошенничества.

В CloudSEK обнаружили, что приложения пропускают API-интерфейсы из MailChimp, SendGrid и Mailgun, позволяя потенциальным злоумышленникам отправлять электронные письма, удалять ключи API и даже изменять многофакторную аутентификацию (MFA). Исследователи CloudSEK уведомили разработчиков приложений о своих выводах.

ПО скачали 54 млн человек, которые сейчас находятся в опасности. Большинство потенциальных жертв находятся в Соединенных Штатах, причем значительная часть приходится на Великобританию, Испанию, Россию и Индию.

Из сообщения компании:

«В современном ПО API-интерфейсы интегрируют новые компоненты приложений в существующую архитектуру. Поэтому его безопасность стала императивом. Разработчики программного обеспечения должны избегать встраивания ключей API в свои приложения и должны следовать безопасным методам кодирования и развертывания, таким как стандартизация процедур проверки, ротация ключей, скрытие ключей и использование хранилища».

Среди трех уязвимых сервисов MailChimp самый крупный, и, раскрывая ключи API MailChimp, разработчики приложений позволят злоумышленникам читать переписку по электронной почте, эксфильтровать данные клиентов, захватывать списки адресов электронной почты, проводить собственные кампании по электронной почте и манипулировать промокодами.

Кроме того, хакеры могут авторизовать сторонние приложения, подключенные к учетной записи MailChimp. Всего исследователи определили 319 API-ключей, из которых более четверти (28%) являются действительными. Добавлено двенадцать ключей для чтения электронной почты.

Утечка ключей API MailGun также позволяет злоумышленникам отправлять и читать электронные письма, а также получать учетные данные Simple Mail Transfer Protocol (SMTP), IP-адреса, а также различную статистику. Кроме того, они также смогут эксфильтровать списки рассылки клиентов.

SendGrid представляет собой коммуникационную платформу, которая помогает компаниям доставлять транзакционные и маркетинговые электронные письма через облачную платформу доставки электронной почты. Благодаря утечке API хакеры смогут отправлять электронные письма, создавать ключи API и контролировать IP-адреса, используемые для доступа к учетным записям.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме