Cybersäkerhetsexperter har upptäckt mer än tusen mobilappar som innehåller ett felaktigt API som läcker känsliga slutpunkter (öppnas i en ny flik) och användarinformation.
CloudSEK-forskare hittade 1550 XNUMX mobilappar som använder Alogolia, ett proprietärt API som hjälper mobilutvecklare att integrera sökmotorer med upptäckts- och rekommendationsfunktioner som finns på webbplatser och appar.
Enligt företaget används detta API av mer än 11.000 XNUMX företag runt om i världen.
missbruk av service
Aligolia kommer med fem API-nycklar: Management, Search, Monitoring, Usage och Analytics, och enligt forskare är Search den enda nyckeln som ska vara offentligt tillgänglig på front-end, eftersom den hjälper användare att söka i applikationen . Övervakning ger tillgång till klustrets hälsa, användning och analys är självförklarande, medan Admin-nyckeln ger tillgång till de andra fyra nycklarna, såväl som andra funktioner.
Forskarna upptäckte dock att det var möjligt att missbruka dessa tjänster och på så sätt avslöja den data de manipulerar.
"Medan Management API Key tillåter hotaktörer att utföra flera kritiska åtgärder och ger åtkomst till känslig data, även med en eller flera av de andra API-nycklarna, kan hotaktörer söka efter eller se känslig data", säger en CloudSEK-analytiker på BleepingComputer.
"Dessutom, beroende på kodändringar i framtida versioner av applikationerna, kan hotaktörer komma åt känsligare data med bara dessa nycklar."
Av de 1550 32 apparna i fråga läckte 57 administratörshemligheter, inklusive XNUMX unika adminnycklar. Med dessa kunde en hotaktör inte bara få tillgång till användarnas känsliga information – öppnas i en ny flik, utan även manipulera applikationsloggar och indexinställningar.
Totalt laddades apparna som läckte adminlösenordet ner cirka 3 250 000 gånger. Vissa appar har över en miljon nedladdningar, har det sagts. Apparna faller i alla möjliga kategorier, från nyhetsappar till matappar, utbildning, fitness, affärsappar och många fler.
CloudSEK tillhandahöll ingen lista över berörda appar, men sa att de har kontaktat deras utvecklare och inte fått något svar.
Via: BleepingComputer (öppnas i en ny flik)