Από τα 1.550 mobile apps που μελετήθηκαν, οι ερευνητές διαπίστωσαν ότι πολλά από αυτά διέρρεαν κλειδιά Algolia API, διακινδυνεύοντας την έκθεση ευαίσθητων εσωτερικών υπηρεσιών και αποθηκευμένων πληροφοριών χρήστη.
Δείτε επίσης: Κυβερνοεπιθέσεις: Καθημερινό φαινόμενο για τις μοντέρνες επιχειρήσεις
Από αυτές τις εφαρμογές, οι 32 εκθέτουν μυστικά διαχειριστή – που σημαίνει ότι υπάρχουν 57 διαφορετικοί τρόποι για έναν εισβολέα να αποκτήσει πρόσβαση σε ευαίσθητες πληροφορίες χρήστη ή να τροποποιήσει αρχεία και ρυθμίσεις ευρετηρίου εφαρμογών.
Η CloudSEK, μια εταιρεία κυβερνοασφάλειας με έδρα τη Σιγκαπούρη, ανακάλυψε αυτή την έκθεση και μοιράστηκε τα ευρήματά της αποκλειστικά με το BleepingComputer.
Δείτε επίσης: Mustang Panda: Χρησιμοποιεί το Google Drive για να κάνει drop malware σε govt δίκτυα
Algolia API λεπτομέρειες
Το Algolia API (Application Program Interface) είναι μια πλατφόρμα που χρησιμοποιούν πάνω από 11.000 εταιρείες για να ενσωματώσουν τις μηχανές αναζήτησης με λειτουργίες ανακάλυψης και σύστασης σε ιστότοπους και εφαρμογές.
Το σύστημα αποτελείται από πέντε API keys για: Admin, Search, Monitoring, Usage και Analytics.
Το κλειδί Search είναι το μόνο που πρέπει να είναι δημόσιο και προσβάσιμο από τον κώδικα front-end, ώστε οι χρήστες να μπορούν να αναζητούν πράγματα μέσα στην εφαρμογή.
Το κλειδί Monitoring επιτρέπει στους διαχειριστές να ελέγχουν την κατάσταση του cluster τους, τα κλειδιά Usage and Analytics παρέχουν στατιστικά στοιχεία χρήσης και το κλειδί Admin προσφέρει πρόσβαση σε τέσσερις άλλες υπηρεσίες API.
Η κατάχρηση των παραπάνω υπηρεσιών μπορεί να εκθέσει δεδομένα που περιέχουν στοιχεία πρόσβασης συσκευής χρήστη και δικτύου, στατιστικά στοιχεία χρήσης, αρχεία καταγραφής αναζήτησης και χειρισμό των σχετικών πληροφοριών.
Αποκάλυψη αναγνωριστικών εφαρμογής και κλειδιών API
Οι σαρωτές της CloudSEK ανακάλυψαν ότι 1.550 εφαρμογές μοιράζονται το κλειδί API και το αναγνωριστικό εφαρμογής Algolia, γεγονός που θα μπορούσε να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση σε εσωτερικές πληροφορίες.
Οι 32 εφαρμογές που διαρρέουν τα κλειδιά Admin API αποτελούν κρίσιμο κίνδυνο για την ασφάλεια, καθώς εκθέτουν τους χρήστες τους στην πιθανότητα διαρροής δεδομένων και κακόβουλων τροποποιήσεων που θα μπορούσαν να προκαλέσουν ζημιά στις επιχειρήσεις τους.
Τα κλειδιά διαχειριστή του API Algolia εκτέθηκαν από πολλές εφαρμογές, ορισμένες από τις οποίες είχαν πάνω από ένα εκατομμύριο λήψεις.
Οι εφαρμογές αγορών ήταν η πιο πιθανή κατηγορία με εκτεθειμένα κλειδιά, με συνολικά 2,3 εκατομμύρια λήψεις – συνολικά τα downloads των εφαρμογών είναι περίπου 3.250.000.
Η κατηγορία που ήταν πιο επιρρεπής σε εκτεθειμένα κλειδιά ήταν οι εφαρμογές shopping, που λήφθηκαν συνολικά 2,3 εκατομμύρια φορές.
Δείτε επίσης: Windows zero day εκμεταλλεύεται για να ρίξει λογισμικό Qbot
Η CloudSEK προσπάθησε να ειδοποιήσει όλους τους προγραμματιστές εφαρμογών σχετικά με την έκθεση, αλλά δεν έχει λάβει ακόμη απάντηση από κανέναν από αυτούς.
Πηγή πληροφοριών: bleepingcomputer.com
