Des centaines d'applications Android distribuées via le Google Play Store ont divulgué des clés d'interface de programmation d'applications (API), exposant les utilisateurs à un risque d'usurpation d'identité (ouvre dans un nouvel onglet) et d'autres menaces.
Les risques ont été découverts par des chercheurs en cybersécurité de CloudSEK, qui ont utilisé le moteur de recherche de sécurité BeVigil de la société pour analyser 600 applications sur le Play Store.
Dans l'ensemble, l'équipe a constaté que la moitié (50 %) fuyaient les clés API des trois principaux fournisseurs de services de marketing par e-mail et de transaction, exposant les utilisateurs à un risque de fraude ou d'escroquerie.
MailChimp, SendGrid, MailGun
CloudSEK a découvert que les applications avaient divulgué les API MailChimp, SendGrid et Mailgun, permettant aux acteurs potentiels de la menace d'envoyer des e-mails, de supprimer des clés API et même de modifier l'authentification multifacteur (MFA). CloudSEK a depuis informé les développeurs d'applications de ses conclusions.
Entre elles, les applications ont été téléchargées par 54 millions de personnes, qui sont désormais à risque. La plupart des victimes potentielles se trouvent aux États-Unis, le Royaume-Uni, l'Espagne, la Russie et l'Inde représentant également une part importante.
« Dans l'architecture logicielle moderne, les API intègrent de nouveaux composants d'application dans l'architecture existante. Par conséquent, sa sécurité est devenue impérative », a commenté CloudSEK. "Les développeurs de logiciels doivent éviter d'intégrer des clés API dans leurs applications et doivent suivre des pratiques de codage et de déploiement sécurisées, telles que la normalisation des procédures d'examen, la rotation des clés, le masquage des clés et l'utilisation à partir du coffre-fort."
Des trois services, MailChimp est sans doute le plus important, et en divulguant les clés de l'API MailChimp, les développeurs d'applications permettraient aux pirates de lire les conversations par e-mail, d'extraire les données des clients, de s'inscrire sur des listes de diffusion, d'envoyer des e-mails, de lancer vos propres campagnes par e-mail et de manipuler les promotions. codes.
De plus, les pirates pourraient autoriser des applications tierces à se connecter à un compte MailChimp. Au total, les chercheurs ont identifié 319 clés API, dont plus d'un quart (28%) sont valides. Ajout de douze touches permettant de lire les emails.
Les fuites de clés API de MailGun permettent également aux pirates d'envoyer et de lire des e-mails, ainsi que d'obtenir des informations d'identification SMTP (Simple Mail Transfer Protocol), des adresses IP et diverses statistiques. En outre, ils pourraient également filtrer les listes de diffusion des clients.
SendGrid, d'autre part, est une plate-forme de communication qui aide les entreprises à envoyer des e-mails marketing et transactionnels via une plate-forme de distribution d'e-mails basée sur le cloud. Avec une fuite d'API, les pirates pourraient envoyer des e-mails, créer des clés API et contrôler les adresses IP utilisées pour accéder aux comptes.
Via : Infosecurity Magazine (s'ouvre dans un nouvel onglet)