Siber güvenlik uzmanları, hassas uç nokta sızdıran kusurlu bir API taşıyan binden fazla mobil uygulamayı ortaya çıkardı (yeni sekmede açılır) ve kullanıcı bilgileri.
CloudSEK araştırmacıları, mobil geliştiricilerin arama motorlarını web sitelerinde ve uygulamalarda bulunan keşif ve öneri özellikleriyle entegre etmesine yardımcı olan tescilli bir API olan Alogolia’yı kullanan 1.550 mobil uygulama buldu.
Şirkete göre, bu API dünya çapında 11.000’den fazla şirket tarafından kullanılıyor.
Hizmeti kötüye kullanmak
Aligolia beş API anahtarıyla birlikte gelir – Yönetici, Arama, İzleme, Kullanım ve Analiz ve araştırmacılara göre Arama, kullanıcıların uygulamada arama yapmasına yardımcı olduğu için ön uçta herkese açık olması amaçlanan tek anahtardır. İzleme, küme durumuna erişim sağlar, Kullanım ve Analitik oldukça açıklayıcıdır, Yönetici anahtarı ise diğer dört anahtarın yanı sıra bir dizi başka özelliğe erişim sağlar.
Artık araştırmacılar, bu hizmetleri kötüye kullanmanın ve böylece işlenen verileri ifşa etmenin mümkün olduğunu keşfettiler.
Bir CloudSEK analisti, “Yönetici API anahtarı, tehdit aktörlerinin birkaç kritik eylem gerçekleştirmesini sağlarken ve diğer API anahtarlarından bir veya daha fazlasıyla bile hassas verilere erişim sağlarken, tehdit aktörleri hassas verileri arayabilir veya görüntüleyebilir.” BleepingBilgisayar.
“Ayrıca, uygulamaların gelecekteki sürümlerindeki kod değişikliklerine bağlı olarak, tehdit aktörleri yalnızca bu anahtarları kullanarak daha hassas verilere erişebilir.”
Söz konusu 1.550 uygulamadan, 57 benzersiz yönetici anahtarı da dahil olmak üzere 32 yönetici sırrı sızdırıldı. Bunlarla, bir tehdit aktörü yalnızca hassas kullanıcı bilgilerine erişemez. (yeni sekmede açılır)aynı zamanda uygulama dizini kayıtları ve ayarlarıyla da oynayın.
Toplamda, Yönetici anahtarını sızdıran uygulamalar yaklaşık 3.250.000 kez indirildi. Bazı uygulamaların bir milyondan fazla indirildiği söylendi. Uygulamalar, haber uygulamaları, yiyecek ve içecek uygulamaları, eğitim, fitness, iş uygulamaları ve diğer pek çok kategoriye giriyor.
CloudSEK, etkilenen uygulamaların listesini sağlamadı, ancak geliştiricileriyle iletişim kurduğunu ve yanıt alamadığını söyledi.
Aracılığıyla: BleepingBilgisayar (yeni sekmede açılır)
