Cybersicherheitsexperten haben über tausend mobile Apps entdeckt, die eine fehlerhafte API enthalten, die sensible Endpunkte (wird in einem neuen Tab geöffnet) und Benutzerinformationen preisgibt.
CloudSEK-Forscher fanden 1550 mobile Apps, die Alogolia verwenden, eine proprietäre API, die mobilen Entwicklern hilft, Suchmaschinen mit Such- und Empfehlungsfunktionen zu integrieren, die in Websites und Apps zu finden sind.
Nach Angaben des Unternehmens wird diese API von mehr als 11.000 Unternehmen auf der ganzen Welt verwendet.
Missbrauch des Dienstes
Aligolia wird mit fünf API-Schlüsseln geliefert: Management, Search, Monitoring, Usage und Analytics, und laut Forschern ist Search der einzige Schlüssel, der im Front-End öffentlich verfügbar sein soll, da er Benutzern bei der Suche in der Anwendung hilft . Die Überwachung bietet Zugriff auf den Zustand des Clusters, Nutzung und Analyse sind selbsterklärend, während der Admin-Schlüssel Zugriff auf die anderen vier Schlüssel sowie andere Funktionen bietet.
Die Forscher entdeckten jedoch, dass es möglich war, diese Dienste zu missbrauchen und so die von ihnen manipulierten Daten offenzulegen.
„Während der Management-API-Schlüssel es Angreifern ermöglicht, mehrere kritische Aktionen durchzuführen und Zugriff auf sensible Daten bietet, können Angreifer auch mit einem oder mehreren der anderen API-Schlüssel nach sensiblen Daten suchen oder diese anzeigen“, sagte ein CloudSEK-Analyst bei BleepingComputer.
„Abhängig von Codeänderungen in zukünftigen Versionen der Anwendungen können Bedrohungsakteure darüber hinaus möglicherweise nur mit diesen Schlüsseln auf sensiblere Daten zugreifen.“
Von den 1550 fraglichen Apps wurden 32 Admin-Secrets geleakt, darunter 57 eindeutige Admin-Schlüssel. Damit könnte ein Angreifer nicht nur Zugriff auf vertrauliche Informationen von Benutzern erhalten, sondern auch Anwendungsprotokolle und Indexeinstellungen manipulieren.
Insgesamt wurden die Apps, die das Admin-Passwort preisgegeben haben, rund 3 Mal heruntergeladen. Einige Apps haben über eine Million Downloads, heißt es. Die Apps fallen in alle möglichen Kategorien, von Nachrichten-Apps über Food-Apps, Bildungs-, Fitness-, Business-Apps und viele mehr.
CloudSEK hat keine Liste der betroffenen Apps bereitgestellt, aber gesagt, es habe ihre Entwickler kontaktiert und keine Antwort erhalten.
Über: BleepingComputer (Öffnet in einem neuen Tab)