Des centaines d'applications Android distribuées par l'intermédiaire du Google Play Store présentent des fuites de clés d'interface de programmation (API), ce qui expose les utilisateurs à des risques d'usurpation d'identité et à d'autres menaces.
Les risques ont été découverts par les chercheurs en cybersécurité de CloudSEK, qui ont utilisé le moteur de recherche de sécurité BeVigil de la société pour analyser 600 applications sur le Play Store.
Dans l'ensemble, l'équipe a constaté que la moitié d'entre elles (50%) laissaient échapper les clés API de trois grands fournisseurs de services de transaction et de marketing par courriel, exposant ainsi les utilisateurs à des risques de fraude ou d'escroquerie.
MailChimp, SendGrid, MailGun
CloudSEK a découvert que les applications laissaient fuir les API de MailChimp, SendGrid et Mailgun, ce qui permettait à des personnes mal intentionnées d'envoyer des e-mails, de supprimer les clés API et même de modifier l'authentification multifactorielle (MFA). CloudSEK a depuis informé les développeurs des applications de ses découvertes.
Ces applications ont été téléchargées par 54 millions de personnes, qui sont désormais en danger. La plupart des victimes potentielles se trouvent aux États-Unis, mais le Royaume-Uni, l'Espagne, la Russie et l'Inde en représentent également une part importante.
"Dans l'architecture logicielle moderne, les API intègrent de nouveaux composants applicatifs dans l'architecture existante. Sa sécurité est donc devenue impérative", commente CloudSEK. "Les développeurs de logiciels doivent éviter d'intégrer des clés d'API dans leurs applications et doivent suivre des pratiques de codage et de déploiement sécurisées comme la normalisation des procédures de révision, la rotation des clés, le masquage des clés et l'utilisation d'un coffre-fort."
Parmi ces trois services, MailChimp est sans doute le plus important. Avec la divulgation des clés API de MailChimp, les développeurs permettraient à des personnes malveillantes de lire les échanges par courrier électronique, d'exfiltrer les données des clients, de s'emparer de listes d'adresses électroniques, de lancer leurs propres campagnes de courrier électronique et de manipuler des codes promotionnels.
En outre, les pirates pourraient autoriser des applications tierces connectées à un compte MailChimp. Au total, les chercheurs ont identifié 319 clés API, dont plus d'un quart (28 %) étaient valides. Parmi elles, douze clés permettaient la lecture d'emails, ont-ils ajouté.
La fuite des clés API de MailGun permet à un utilisateur malveillant d'envoyer et de lire des e-mails, mais aussi d'obtenir des informations d'identification SMTP (Simple Mail Transfer Protocol), des adresses IP, ainsi que diverses statistiques. En outre, il serait en mesure d'exfiltrer les listes de diffusion des clients.
SendGrid, quant à lui, est une plateforme de communication qui aide les entreprises à distribuer des courriels transactionnels et marketing par le biais d'une plateforme de distribution de courriels basée sur le cloud. Avec une fuite d'API, les pirates seraient en mesure d'envoyer des e-mails, de créer des clés d'API et de contrôler les adresses IP utilisées pour accéder aux comptes.
