Les experts en cybersécurité ont découvert plus d'un millier d'applications mobiles contenant une API défectueuse qui divulgue des points de terminaison sensibles (s'ouvre dans un nouvel onglet) et des informations sur les utilisateurs.
Les chercheurs de CloudSEK ont trouvé 1550 XNUMX applications mobiles qui utilisent Alogolia, une API propriétaire qui aide les développeurs mobiles à intégrer les moteurs de recherche avec des fonctionnalités de découverte et de recommandation trouvées dans les sites Web et les applications.
Selon l'entreprise, cette API est utilisée par plus de 11.000 XNUMX entreprises dans le monde.
abus de service
Aligolia viene con cinco claves API: administración, búsqueda, monitoreo, uso y análisis, y según los investigadores, la búsqueda es la única clave que se supone que está disponible públicamente en el front-end, ya que ayuda a los usuarios a buscar en application. La surveillance permet d'accéder à la santé du cluster, l'utilisation et l'analyse sont explicites, tandis que la clé Admin permet d'accéder aux quatre autres clés, ainsi qu'à d'autres fonctionnalités.
Cependant, les chercheurs ont découvert qu'il était possible d'abuser de ces services et d'exposer ainsi les données qu'ils manipulent.
"Alors que la clé API de gestion permet aux acteurs de la menace d'effectuer plusieurs actions critiques et donne accès à des données sensibles, même avec une ou plusieurs des autres clés API, les acteurs de la menace peuvent rechercher ou afficher des données sensibles", a déclaré un analyste CloudSEK chez BleepingComputer.
"De plus, en fonction des changements de code dans les futures versions des applications, les acteurs malveillants pourraient être en mesure d'accéder à des données plus sensibles en utilisant uniquement ces clés."
Sur les 1550 32 applications en question, 57 secrets d'administration ont été divulgués, dont XNUMX clés d'administration uniques. Avec ceux-ci, un acteur malveillant pourrait non seulement accéder aux informations sensibles des utilisateurs - s'ouvre dans un nouvel onglet, mais également manipuler les journaux d'application et les paramètres d'index.
Au total, les applications qui ont divulgué le mot de passe administrateur ont été téléchargées environ 3 250 000 fois. Certaines applications ont plus d'un million de téléchargements, a-t-on dit. Les applications appartiennent à toutes sortes de catégories, des applications d'actualités aux applications alimentaires, en passant par l'éducation, le fitness, les applications professionnelles et bien d'autres.
CloudSEK n'a pas fourni de liste des applications concernées, mais a déclaré avoir contacté leurs développeurs et n'avoir reçu aucune réponse.
Via : BleepingComputer (Ouvre dans un nouvel onglet)