کارشناسان امنیت سایبری بیش از هزار برنامه تلفن همراه حاوی یک API معیوب را کشف کردهاند که در حال افشای نقطه پایانی حساس هستند. () و اطلاعات کاربر
محققان CloudSEK با استفاده از Alogolia، یک API اختصاصی که به توسعهدهندگان موبایل کمک میکند موتورهای جستجو را با ویژگیهای اکتشاف و توصیه موجود در وبسایتها و برنامهها، ادغام کنند، 1550 برنامه تلفن همراه را پیدا کردند.
به گفته این شرکت، این API توسط بیش از 11000 شرکت در سراسر جهان استفاده می شود.
سوء استفاده از خدمات
Aligolia با پنج کلید API ارائه می شود – Admin، Search، Monitoring، Usage و Analytics، و به گفته محققان، Search تنها کلیدی است که قرار است به صورت عمومی در front-end در دسترس باشد، زیرا به کاربران کمک می کند جستجوها را در برنامه انجام دهند. مانیتورینگ امکان دسترسی به وضعیت خوشه را فراهم می کند، استفاده و تجزیه و تحلیل کاملاً واضح هستند، در حالی که کلید Admin به چهار کلید دیگر و همچنین تعدادی ویژگی دیگر دسترسی می دهد.
اکنون محققان دریافتهاند که امکان سوء استفاده از این خدمات و در نتیجه افشای دادههایی که آنها از آن استفاده میکنند وجود دارد.
یک تحلیلگر CloudSEK گفت: «در حالی که کلید API admin عاملان تهدید را قادر میسازد تا چندین عمل مهم را انجام دهند و دسترسی به دادههای حساس را حتی با یک یا چند کلید API دیگر فراهم میکند، بازیگران تهدید میتوانند دادههای حساس را جستجو یا مشاهده کنند». Bleeping Computer.
همچنین، بسته به تغییرات کد در نسخههای بعدی برنامهها، عوامل تهدید ممکن است تنها با استفاده از این کلیدها بتوانند به دادههای حساستر دسترسی پیدا کنند.»
از 1550 برنامه مورد بحث، 32 اسرار ادمین فاش شد، از جمله 57 کلید مدیریت منحصر به فرد. با این موارد، یک عامل تهدید نه تنها می توانست به اطلاعات حساس کاربر دسترسی داشته باشد ()، بلکه با رکوردها و تنظیمات فهرست برنامه نیز بازی کنید.
در مجموع، برنامه هایی که کلید Admin را درز کرده اند، تقریباً 3250000 بار دانلود شده اند. گفته شد که برخی از برنامه ها بیش از یک میلیون دانلود دارند. برنامهها در انواع مختلف دستهبندی میشوند، از برنامههای خبری، برنامههای غذا و نوشیدنی گرفته تا آموزش، تناسب اندام، برنامههای تجاری و بسیاری دیگر.
CloudSEK لیستی از برنامه های آسیب دیده را ارائه نکرد، اما اعلام کرد که با توسعه دهندگان آنها تماس گرفته است و – پاسخی دریافت نکرده است.
از طریق: BleepingComputer ()
آخرین دیدگاهها