网络安全专家已经发现了一千多个移动应用程序,这些应用程序带有有缺陷的API,这些应用程序正在泄漏敏感的端点和用户信息。
来自Cloudsek的研究人员使用Alogolia发现了1,550个移动应用程序,Alogolia是一种专有API,可帮助移动开发人员将搜索引擎与网站和应用中的发现和建议功能集成在一起。
据该公司称,该API在全球有11,000多家公司使用。
你可能喜欢
成千上万的iOS应用程序发现可以暴露用户数据
注意,您的工作移动应用程序可能是一个巨大的安全风险 - 这是要注意的
安全失效期间,顶级API测试公司APISEC暴露了客户数据
滥用服务
Aligolia配备了五个API键 - 管理员,搜索,监视,用法和分析,根据研究人员的说法,搜索是唯一可以在前端公开可用的钥匙,因为它可以帮助用户在应用程序中运行搜索。监视允许访问群集状态,使用和分析是非常不言自明的,而管理员密钥可访问其他四个键以及许多其他功能。
现在,研究人员发现有可能滥用这些服务,从而揭露他们处理的数据。
Cloudsek分析师告诉BleepingComputer:“管理员API密钥使威胁参与者能够执行多个关键操作并提供对敏感数据的访问,即使有一个或多个其他API密钥,威胁参与者也可以搜索或查看敏感数据。”
“此外,根据应用程序的未来版本的代码更改,威胁参与者可能仅使用这些键访问更敏感的数据。”
你是专业人士吗?订阅我们的新闻通讯
注册techradar Pro新闻通讯,以获取您的业务成功所需的所有新闻,意见,功能和指导!与我联系我的新闻,并代表我们值得信赖的合作伙伴或Sposorsby提交您的信息,以提交我们的信息,并提交您的信息,您同意16岁或超过16岁的人。
>网络犯罪分子滥用API键在加密货币中窃取数百万美元
> API正在成为网络安全灾区
>寻找最好的防火墙?别再看
在有问题的1,550个应用程序中,有32个泄漏的管理员秘密,包括57个唯一的管理密钥。有了这些,威胁演员不仅可以访问敏感用户信息,而且可以使用应用程序索引记录和设置。
总体而言,泄漏管理密钥的应用程序已下载约3,250,000次。据说,有些应用程序的下载量超过一百万。这些应用程序属于各种类别,从新闻应用程序,食品和饮料应用程序到教育,健身,业务应用程序等。
Cloudsek没有提供受影响的应用程序的列表,但它确实说它与开发人员联系,并且 - 没有回音。检查现在最好的隐私工具
通过:BleepingComputer
