Gli esperti di sicurezza informatica hanno scoperto oltre un migliaio di app mobili che contengono un'API difettosa che fa trapelare endpoint sensibili (si apre in una nuova scheda) e informazioni sugli utenti.
I ricercatori di CloudSEK hanno trovato 1550 app mobili che utilizzano Alogolia, un'API proprietaria che aiuta gli sviluppatori mobili a integrare i motori di ricerca con le funzionalità di scoperta e raccomandazione presenti nei siti Web e nelle app.
Secondo l'azienda, questa API è utilizzata da oltre 11.000 aziende in tutto il mondo.
abuso di servizio
Aligolia viene fornito con cinque chiavi API: gestione, ricerca, monitoraggio, utilizzo e analisi e, secondo i ricercatori, la ricerca è l'unica chiave che dovrebbe essere disponibile pubblicamente sul front-end, in quanto aiuta gli utenti a cercare nell'applicazione . Il monitoraggio fornisce l'accesso all'integrità, all'utilizzo e all'analisi del cluster sono autoesplicativi, mentre la chiave Admin fornisce l'accesso alle altre quattro chiavi, nonché ad altre funzionalità.
Tuttavia, i ricercatori hanno scoperto che era possibile abusare di questi servizi e quindi esporre i dati che manipolano.
"Mentre la chiave API di gestione consente agli attori delle minacce di eseguire diverse azioni critiche e fornisce l'accesso a dati sensibili, anche con una o più delle altre chiavi API, gli attori delle minacce possono cercare o visualizzare dati sensibili", ha affermato un analista di CloudSEK presso BleepingComputer.
"Inoltre, a seconda delle modifiche al codice nelle future versioni delle applicazioni, gli autori delle minacce potrebbero essere in grado di accedere a dati più sensibili utilizzando solo queste chiavi."
Delle 1550 app in questione, sono trapelati 32 segreti di amministrazione, incluse 57 chiavi di amministrazione univoche. Con questi, un attore della minaccia non solo potrebbe ottenere l'accesso alle informazioni sensibili degli utenti - si apre in una nuova scheda, ma anche manipolare i registri delle applicazioni e le impostazioni dell'indice.
In totale, le app che hanno fatto trapelare la password dell'amministratore sono state scaricate circa 3 volte. Alcune app hanno oltre un milione di download, è stato detto. Le app rientrano in tutti i tipi di categorie, dalle app di notizie alle app di cibo, istruzione, fitness, app aziendali e molte altre.
CloudSEK non ha fornito un elenco delle app interessate, ma ha affermato di aver contattato i propri sviluppatori e di non aver ricevuto risposta.
Via: BleepingComputer (si apre in una nuova scheda)