Hundratals Android-appar som distribueras via Google Play Butik har läckt API-nycklar (Application Programming Interface), vilket utsätter användare för identitetsstöld (öppnas i en ny flik) och andra hot.
Riskerna upptäcktes av cybersäkerhetsforskare på CloudSEK, som använde företagets säkerhetssökmotor BeVigil för att analysera 600 appar i Play Store.
Sammantaget fann teamet att hälften (50 %) läckte API-nycklar från de tre främsta leverantörerna av e-postmarknadsföring och transaktionstjänster, vilket satte användare i riskzonen för bedrägeri eller bedrägeri.
MailChimp, SendGrid, MailGun
CloudSEK upptäckte att apparna läckte API:erna för MailChimp, SendGrid och Mailgun, vilket gjorde det möjligt för potentiella hotaktörer att skicka e-post, ta bort API-nycklar och till och med modifiera multi-factor authentication (MFA). CloudSEK har sedan dess underrättat apputvecklare om sina upptäckter.
Tillsammans har apparna laddats ner av 54 miljoner människor, som nu är i riskzonen. De flesta av de potentiella offren finns i USA, och Storbritannien, Spanien, Ryssland och Indien står också för en betydande del.
"I modern mjukvaruarkitektur integrerar API:er nya applikationskomponenter i befintlig arkitektur. Därför har dess säkerhet blivit absolut nödvändig”, kommenterade CloudSEK. "Mjukvaruutvecklare bör undvika att bädda in API-nycklar i sina applikationer och bör följa säker kodning och distributionspraxis, såsom standardisering av granskningsprocedurer, nyckelrotation, nyckelmaskering och användning från valvet."
Av de tre tjänsterna är MailChimp utan tvekan den mest framträdande, och genom att avslöja MailChimp API-nycklar skulle apputvecklare tillåta hotaktörer att läsa e-postkonversationer, extrahera kunddata, komma på e-postlistor, skicka e-post, köra dina egna e-postkampanjer och manipulera reklam koder.
Hackare kan också tillåta tredjepartsappar att ansluta till ett MailChimp-konto. Totalt identifierade forskarna 319 API-nycklar, varav mer än en fjärdedel (28%) är giltiga. Lade till tolv nycklar som tillåts läsa e-postmeddelanden.
MailGuns API-nyckelläckor tillåter också hackare att skicka och läsa e-post, samt få inloggningsuppgifter för Simple Mail Transfer Protocol (SMTP), IP-adresser och olika statistik. Dessutom kunde de också filtrera kundernas e-postlistor.
SendGrid, å andra sidan, är en kommunikationsplattform som hjälper företag att skicka marknadsförings- och transaktionsmail via en molnbaserad e-postleveransplattform. Med en API-läcka kunde hackare skicka e-post, skapa API-nycklar och kontrollera de IP-adresser som används för att komma åt konton.
Via: Infosecurity Magazine (öppnas i ny flik)