ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้ค้นพบแอพมือถือกว่าพันแอพที่มี API ที่ผิดพลาดซึ่งทำให้อุปกรณ์ปลายทางที่ละเอียดอ่อนรั่วไหล (เปิดในแท็บใหม่) และข้อมูลผู้ใช้
นักวิจัยของ CloudSEK พบแอปบนอุปกรณ์เคลื่อนที่ 1550 แอปที่ใช้ Alogolia ซึ่งเป็น API กรรมสิทธิ์ที่ช่วยให้นักพัฒนาอุปกรณ์เคลื่อนที่รวมเครื่องมือค้นหาเข้ากับคุณลักษณะการค้นหาและคำแนะนำที่พบในเว็บไซต์และแอป
จากข้อมูลของบริษัท API นี้ถูกใช้โดยบริษัทมากกว่า 11.000 แห่งทั่วโลก
การละเมิดบริการ
Aligolia มาพร้อมกับคีย์ API ห้าคีย์: การจัดการ การค้นหา การตรวจสอบ การใช้งาน และการวิเคราะห์ และจากข้อมูลของนักวิจัย การค้นหาเป็นคีย์เดียวที่ควรเปิดเผยต่อสาธารณะในส่วนหน้า เนื่องจากช่วยให้ผู้ใช้สามารถค้นหาในแอปพลิเคชันได้ . การมอนิเตอร์ให้สิทธิ์เข้าถึงความสมบูรณ์ของคลัสเตอร์ การใช้งาน และการวิเคราะห์เป็นสิ่งที่อธิบายได้ด้วยตนเอง ในขณะที่คีย์ผู้ดูแลระบบให้สิทธิ์เข้าถึงอีกสี่คีย์ที่เหลือ ตลอดจนคุณสมบัติอื่นๆ
อย่างไรก็ตาม นักวิจัยค้นพบว่ามีความเป็นไปได้ที่จะใช้บริการเหล่านี้ในทางที่ผิด และด้วยเหตุนี้จึงเปิดเผยข้อมูลที่พวกเขาจัดการ
“ในขณะที่คีย์ API การจัดการอนุญาตให้ผู้คุกคามดำเนินการที่สำคัญหลายอย่างและให้การเข้าถึงข้อมูลที่ละเอียดอ่อน แม้จะมีคีย์ API อื่น ๆ อย่างน้อยหนึ่งคีย์ ผู้คุกคามสามารถค้นหาหรือดูข้อมูลที่ละเอียดอ่อนได้” นักวิเคราะห์ CloudSEK คนหนึ่งจาก BleepingComputer กล่าว
“นอกจากนี้ ขึ้นอยู่กับการเปลี่ยนแปลงโค้ดในแอปพลิเคชันเวอร์ชันอนาคต ผู้คุกคามอาจสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนมากขึ้นโดยใช้เพียงคีย์เหล่านี้เท่านั้น”
จาก 1550 แอปที่เป็นปัญหา ความลับของผู้ดูแลระบบ 32 รายการรั่วไหล รวมถึงคีย์ผู้ดูแลระบบที่ไม่ซ้ำกัน 57 รายการ ด้วยสิ่งเหล่านี้ ผู้ก่อภัยคุกคามไม่เพียงแค่สามารถเข้าถึงข้อมูลที่ละเอียดอ่อนของผู้ใช้เท่านั้น - เปิดในแท็บใหม่ แต่ยังจัดการบันทึกแอปพลิเคชันและการตั้งค่าดัชนีอีกด้วย
โดยรวมแล้ว แอปที่ปล่อยรหัสผ่านผู้ดูแลระบบรั่วไหลถูกดาวน์โหลดประมาณ 3 ครั้ง แอพบางตัวมีการดาวน์โหลดมากกว่าล้านครั้ง แอพเหล่านี้จัดอยู่ในหมวดหมู่ทุกประเภท ตั้งแต่แอพข่าวไปจนถึงแอพอาหาร การศึกษา ฟิตเนส แอพธุรกิจ และอื่นๆ อีกมากมาย
CloudSEK ไม่ได้ให้รายชื่อแอปที่ได้รับผลกระทบ แต่กล่าวว่าได้ติดต่อนักพัฒนาแล้วและไม่ได้รับการตอบสนอง
ผ่าน: BleepingComputer (เปิดในแท็บใหม่)