Google Play Store aracılığıyla dağıtılan yüzlerce Android uygulamasının Uygulama Programlama Arayüzü (API) anahtarlarını sızdırdığı ve kullanıcıları kimlik hırsızlığı riskine soktuğu tespit edildi (yeni sekmede açılır) ve diğer tehditler.
Riskler, Play Store’daki 600 uygulamayı analiz etmek için şirketin BeVigil güvenlik arama motorunu kullanan CloudSEK’teki siber güvenlik araştırmacıları tarafından bulundu.
Genel olarak ekip, yarısının (%50) en iyi üç işlem ve e-posta pazarlama hizmeti sağlayıcısının API anahtarlarını sızdırdığını ve bunun da kullanıcıları dolandırıcılık veya dolandırıcılık riskiyle karşı karşıya bıraktığını tespit etti.
MailChimp, SendGrid, MailGun
CloudSEK, uygulamaların MailChimp, SendGrid ve Mailgun’dan API’leri sızdırdığını ve potansiyel tehdit aktörlerinin e-posta göndermesine, API anahtarlarını silmesine ve hatta çok faktörlü kimlik doğrulamayı (MFA) değiştirmesine izin verdiğini tespit etti. CloudSEK o zamandan beri uygulama geliştiricilerine bulgularını bildirdi.
Aralarında, uygulamalar şu anda risk altında olan 54 milyon kişi tarafından indirildi. Potansiyel kurbanların çoğu Birleşik Devletler’de bulunuyor; Birleşik Krallık, İspanya, Rusya ve Hindistan da önemli bir paya sahip.
“Modern yazılım mimarisinde, API’ler yeni uygulama bileşenlerini mevcut mimariye entegre eder. Dolayısıyla güvenliği zorunlu hale geldi,” diye yorumladı CloudSEK. “Yazılım geliştiriciler, API anahtarlarını uygulamalarına gömmekten kaçınmalı ve inceleme prosedürlerini standartlaştırma, anahtarları döndürme, anahtarları gizleme ve kasayı kullanma gibi güvenli kodlama ve dağıtım uygulamalarını izlemelidir.”
Üç hizmet arasında, MailChimp tartışmasız en büyüğüdür ve MailChimp API anahtarlarını sızdıran uygulama geliştiricileri, tehdit aktörlerinin e-posta görüşmelerini okumasına, müşteri verilerini sızdırmasına, e-posta listelerini ele geçirmesine, kendi e-posta kampanyalarını yürütmesine ve promosyon kodlarını manipüle etmesine izin verir.
Ayrıca, bilgisayar korsanları bir MailChimp hesabına bağlı üçüncü taraf uygulamalarına yetki verebilir. Araştırmacılar toplamda 319 API anahtarı belirlediler ve bunların dörtte birinden fazlası (%28) geçerliydi. E-posta okuma için on iki tuşa izin verildi, eklendi.
MailGun API anahtarlarının sızdırılması, tehdit aktörlerinin e-posta gönderip okumasına ve ayrıca Basit Posta Aktarım Protokolü (SMTP) kimlik bilgilerini, IP adreslerini ve çeşitli istatistikleri almasına olanak tanır. Ayrıca, müşteri posta listelerine de sızabilecekler.
SendGrid ise şirketlerin bulut tabanlı bir e-posta dağıtım platformu aracılığıyla işlem ve pazarlama e-postaları göndermesine yardımcı olan bir iletişim platformudur. Bir API sızıntısı ile bilgisayar korsanları e-posta gönderebilir, API anahtarları oluşturabilir ve hesaplara erişmek için kullanılan IP adreslerini kontrol edebilir.
Yolu ile: Bilgi Güvenliği Dergisi (yeni sekmede açılır)