این برنامه های تلفن همراه محبوب اطلاعات بسیار ارزشمندی را به بیرون درز می کنند

زمان مطالعه: 2 دقیقه

کارشناسان امنیت سایبری بیش از هزار برنامه تلفن همراه حاوی یک API معیوب را کشف کرده‌اند که در حال افشای نقطه پایانی حساس هستند. () و اطلاعات کاربر

محققان CloudSEK با استفاده از Alogolia، یک API اختصاصی که به توسعه‌دهندگان کمک می‌کند موتورهای جستجو را با ویژگی‌های اکتشاف و توصیه موجود در وب‌سایت‌ها و برنامه‌ها، ادغام کنند، 1550 برنامه تلفن همراه را پیدا کردند.

به گفته این شرکت، این API توسط بیش از 11000 شرکت در سراسر جهان استفاده می شود.

سوء استفاده از خدمات

Aligolia با پنج کلید API ارائه می شود – Admin، Search، Monitoring، Usage و Analytics، و به گفته محققان، Search تنها کلیدی است که قرار است به صورت عمومی در front-end در دسترس باشد، زیرا به کاربران کمک می کند جستجوها را در برنامه انجام دهند. ینگ امکان دسترسی به وضعیت خوشه را فراهم می کند، استفاده و تجزیه و تحلیل کاملاً واضح هستند، در حالی که کلید Admin به چهار کلید دیگر و همچنین تعدادی ویژگی دیگر دسترسی می دهد.

اکنون محققان دریافته‌اند که امکان سوء استفاده از این خدمات و در نتیجه افشای داده‌هایی که آنها از آن استفاده می‌کنند وجود دارد.

یک تحلیلگر CloudSEK گفت: «در حالی که کلید API admin عاملان تهدید را قادر می‌سازد تا چندین عمل مهم را انجام دهند و دسترسی به داده‌های حساس را حتی با یک یا چند کلید API دیگر فراهم می‌کند، گران تهدید می‌توانند داده‌های حساس را جستجو یا مشاهده کنند». Bleeping Computer.

همچنین، بسته به تغییرات کد در نسخه‌های بعدی برنامه‌ها، عوامل تهدید ممکن است تنها با استفاده از این کلیدها بتوانند به داده‌های حساس‌تر دسترسی پیدا کنند.»

شاید این مقاله را هم دوست داشته باشید :  عرشه زمین نمونه سری A: عرشه 30 میلیون دلاری Diamond Standard

از 1550 برنامه مورد بحث، 32 اسرار ادمین فاش شد، از جمله 57 کلید مدیریت منحصر به فرد. با این موارد، یک عامل تهدید نه تنها می توانست به اطلاعات حساس کاربر دسترسی داشته باشد ()، بلکه با رکوردها و تنظیمات فهرست برنامه نیز بازی کنید.

در مجموع، برنامه هایی که کلید Admin را درز کرده اند، تقریباً 3250000 بار دانلود شده اند. گفته شد که برخی از برنامه ها بیش از یک میلیون دانلود دارند. برنامه‌ها در انواع مختلف دسته‌بندی می‌شوند، از برنامه‌های خبری، برنامه‌های غذا و نوشیدنی گرفته تا آموزش، تناسب اندام، برنامه‌های تجاری و بسیاری دیگر.

CloudSEK لیستی از برنامه های آسیب دیده را ارائه نکرد، اما اعلام کرد که با توسعه دهندگان آنها تماس گرفته است و – پاسخی دریافت نکرده است.

از طریق: BleepingComputer ()

امیدواریم که این خبر مجله زوم نود و هشت مورد توجه شما قرار گرفته باشد

امتیاز بدهید

لینک کوتاه مقاله : https://5ia.ir/qqf
کوتاه کننده لینک
کد QR :
اشتراک گذاری
سروناز مقدم پور

سروناز مقدم پور

سروناز مقدم پور هستم کارشناس مهندسی کامپیوتر و مدیر وبسایت نود و هشت زوم. چندین سال است که در حوزه وب فعالیت می کنم و تخصص های اصلیم طراحی سایت و سئو است بعد از یادگیری علاقه زیادی به آموزش دادن دارم

شاید این مطالب را هم دوست داشته باشید

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *