Centinaia di app Android distribuite tramite il Google Play Store hanno fatto trapelare le chiavi API (Application Programming Interface), mettendo gli utenti a rischio di furto di identità (si apre in una nuova scheda) e altre minacce.
I rischi sono stati scoperti dai ricercatori di sicurezza informatica di CloudSEK, che hanno utilizzato il motore di ricerca per la sicurezza BeVigil dell'azienda per analizzare 600 app sul Play Store.
Complessivamente, il team ha scoperto che la metà (50%) perdeva chiavi API dai primi tre fornitori di servizi di email marketing e transazioni, mettendo gli utenti a rischio di frode o truffa.
MailChimp, SendGrid, MailGun
CloudSEK ha scoperto che le app hanno fatto trapelare le API MailChimp, SendGrid e Mailgun, consentendo a potenziali autori di minacce di inviare e-mail, rimuovere chiavi API e persino modificare l'autenticazione a più fattori (MFA). Da allora CloudSEK ha informato gli sviluppatori di app dei suoi risultati.
Complessivamente, le app sono state scaricate da 54 milioni di persone, che ora sono a rischio. La maggior parte delle potenziali vittime si trova negli Stati Uniti, con anche Regno Unito, Spagna, Russia e India che rappresentano una parte significativa.
“Nella moderna architettura software, le API integrano nuovi componenti applicativi nell’architettura esistente. Pertanto, la sua sicurezza è diventata fondamentale”, ha commentato CloudSEK. "Gli sviluppatori di software dovrebbero evitare di incorporare chiavi API nelle loro applicazioni e dovrebbero seguire pratiche di codifica e distribuzione sicure, come la standardizzazione delle procedure di revisione, la rotazione delle chiavi, il mascheramento delle chiavi e l'utilizzo dal vault."
Dei tre servizi, MailChimp è probabilmente il più importante e, rivelando le chiavi API di MailChimp, gli sviluppatori di app consentirebbero agli attori delle minacce di leggere le conversazioni e-mail, estrarre i dati dei clienti, entrare nelle mailing list, inviare posta, eseguire le proprie campagne e-mail e manipolare promozioni codici.
Inoltre, gli hacker potrebbero consentire alle app di terze parti di connettersi a un account MailChimp. In totale, i ricercatori hanno identificato 319 chiavi API, di cui più di un quarto (28%) sono valide. Aggiunte dodici chiavi autorizzate a leggere le email.
Le perdite di chiavi API di MailGun consentono inoltre agli hacker di inviare e leggere e-mail, nonché di ottenere credenziali SMTP (Simple Mail Transfer Protocol), indirizzi IP e varie statistiche. Inoltre, potrebbero anche filtrare le mailing list dei clienti.
SendGrid, d'altra parte, è una piattaforma di comunicazione che aiuta le aziende a inviare e-mail di marketing e transazionali attraverso una piattaforma di consegna e-mail basata su cloud. Con una fuga di API, gli hacker potrebbero inviare e-mail, creare chiavi API e controllare gli indirizzi IP utilizzati per accedere agli account.
Via: Infosecurity Magazine (si apre in una nuova scheda)