数百种应用程序安卓分布在Google Play商店有一个非常严重的问题,即密钥泄漏应用程序接口这可能使用户面临身份被盗和其他威胁的风险。
这一发现是由云SEK使用安全引擎,专注于网络安全 的公司守夜分析Play Store中的600个应用程序。
研究小组发现,有一半(50%)的企业存在API密钥泄露的问题,这些企业来自交易和服务领域的三大服务提供商。电子邮件营销,使用户面临可能的白沫.
飞鸟加速免费永久ins
CloudSEK发现,这些应用程序的泄漏涉及以下应用程序的APIMailChimp, SendGrid和邮件枪并允许攻击者发送电子邮件、删除API密钥甚至修改认证多因素应用程序 (MFA)。 CloudSEK立即通知了受影响应用程序的开发商。
与此同时,这些应用程序已被5400万人下载,潜在风险令人担忧。 大多数潜在受害者居住在美国、英国、西班牙、俄罗斯和印度。
API将新的应用组件集成到现有的软件架构中。 因此,安全性成为一个关键因素。 CloudSEK评论道:"软件开发人员应避免在应用程序中嵌入API密钥。 此外,他们还应该遵循安全的编码和实施惯例,例如通过标准化新程序、对密钥进行轮换和隐藏以及使用保险库等。
通过泄漏MailChimp的API密钥,应用程序开发人员允许黑客访问电子邮件对话、渗出客户数据、获取邮件列表、进行活动攻击和操纵促销代码。
此外,黑客还可以授权连接到MailChimp帐户的第三方应用程序。 研究人员总共发现了319个API密钥,其中超过四分之一(28%)仍然有效。 此外,有12个密钥允许读取电子邮件。
MailGun API密钥的泄漏也允许攻击者发送和读取电子邮件,但也可获取凭证短信通信IP地址和各种统计数据。 此外,还可以窃取用户的邮件列表。
另一方面,SendGrid拥有一个通信平台,帮助企业通过基于云的系统发送交易和营销电子邮件。 由于API泄露,黑客可以发送电子邮件、创建API密钥并控制用于访问账户的IP地址。
- 最好的反病毒2022年
资料来源信息安全杂志
