Hunderte von Android-Apps, die über den Google Play Store vertrieben werden, haben API-Schlüssel (Application Programming Interface) durchgesickert, wodurch Benutzer dem Risiko von Identitätsdiebstahl (wird in einem neuen Tab geöffnet) und anderen Bedrohungen ausgesetzt sind.
Die Risiken wurden von Cybersicherheitsforschern von CloudSEK entdeckt, die die Sicherheitssuchmaschine BeVigil des Unternehmens nutzten, um 600 Apps im Play Store zu analysieren.
Insgesamt stellte das Team fest, dass die Hälfte (50 %) API-Schlüssel von den drei führenden Anbietern von E-Mail-Marketing und Transaktionsdiensten preisgab, wodurch die Benutzer dem Risiko von Betrug oder Betrug ausgesetzt waren.
MailChimp, SendGrid, MailGun
CloudSEK entdeckte, dass die Apps die MailChimp-, SendGrid- und Mailgun-APIs durchsickern ließen und es potenziellen Angreifern ermöglichten, E-Mails zu senden, API-Schlüssel zu entfernen und sogar die Multi-Faktor-Authentifizierung (MFA) zu modifizieren. CloudSEK hat seitdem App-Entwickler über seine Ergebnisse informiert.
Insgesamt wurden die Apps von 54 Millionen Menschen heruntergeladen, die nun gefährdet sind. Die meisten potenziellen Opfer befinden sich in den Vereinigten Staaten, wobei auch das Vereinigte Königreich, Spanien, Russland und Indien einen erheblichen Teil ausmachen.
„In der modernen Softwarearchitektur integrieren APIs neue Anwendungskomponenten in die bestehende Architektur. Daher ist seine Sicherheit unerlässlich geworden“, kommentierte CloudSEK. „Softwareentwickler sollten das Einbetten von API-Schlüsseln in ihre Anwendungen vermeiden und sichere Codierungs- und Bereitstellungspraktiken befolgen, wie z. B. die Standardisierung von Überprüfungsverfahren, Schlüsselrotation, Schlüsselmaskierung und die Verwendung aus dem Tresor.“
Von den drei Diensten ist MailChimp wohl der bekannteste, und durch die Offenlegung von MailChimp-API-Schlüsseln würden App-Entwickler es Angreifern ermöglichen, E-Mail-Konversationen zu lesen, Kundendaten zu extrahieren, auf Mailinglisten zu gelangen, E-Mails zu versenden, eigene E-Mail-Kampagnen durchzuführen und Werbung zu manipulieren Codes.
Außerdem könnten Hacker Apps von Drittanbietern erlauben, sich mit einem MailChimp-Konto zu verbinden. Insgesamt identifizierten die Forscher 319 API-Schlüssel, von denen mehr als ein Viertel (28 %) gültig sind. Zwölf Tasten zum Lesen von E-Mails hinzugefügt.
Die API-Schlüssellecks von MailGun ermöglichen es Hackern auch, E-Mails zu senden und zu lesen sowie SMTP-Anmeldeinformationen (Simple Mail Transfer Protocol), IP-Adressen und verschiedene Statistiken zu erhalten. Darüber hinaus könnten sie auch Kunden-Mailinglisten filtern.
SendGrid hingegen ist eine Kommunikationsplattform, die Unternehmen dabei unterstützt, Marketing- und Transaktions-E-Mails über eine Cloud-basierte E-Mail-Zustellungsplattform zu versenden. Mit einem API-Leck könnten Hacker E-Mails senden, API-Schlüssel erstellen und die IP-Adressen kontrollieren, die für den Zugriff auf Konten verwendet werden.
Über: Infosecurity Magazine (öffnet in einem neuen Tab)