Centinaia di app Android distribuite su Google Play Store presentano un problema molto serio, ovvero il leak delle chiavi API, che potrebbe mettere a rischio gli utenti, in termini di furto di identità e altre minacce.
La scoperta è stata fatta dai ricercatori di CloudSEK, che hanno utilizzato il motore di sicurezza focalizzato sulla cybersicurezza dell'azienda, BeVigil, per analizzare 600 app sul Play Store.
In totale, il team ha scoperto che la metà (50%) presentava il problema del leak delle chiavi API di tre importanti fornitori di servizi nell'ambito di transazioni e e-mail marketing, esponendo gli utenti a possibili frodi.
MailChimp, SendGrid, MailGun
CloudSEK ha scoperto che il leak di tali app riguardava le API di MailChimp, SendGrid e Mailgun, e consentirebbe ai malintenzionati di inviare e-mail, cancellare le chiavi API e, addirittura, modificare l'autenticazione a più fattori (MFA). CloudSEK ha subito provveduto ad avvisare gli sviluppatori delle app coinvolte.
Nel frattempo, le app sono state scaricate da 54 milioni di persone, il che restituisce uno scenario di potenziale rischio abbastanza preoccupante. La maggior parte delle vittime potenziali risiede negli USA, in Regno Unito, Spagna, Russia e India.
Le API integrano nuovi componenti applicativi nell'architettura software esistente. Di conseguenza, la sicurezza diviene un fattore fondamentale. CloudSEK ha commentato: "gli sviluppatori Software devono evitare di incorporare le chiavi API nelle app. Inoltre, dovrebbero seguire le prassi di codifica e implementazione sicure, ad esempio standardizzando le nuove procedure, sottoporre le chiavi a rotazione e nasconderle, nonché usare i vault".
Dei tre servizi coinvolti, MailChimp è il più grande e, tramite il leak delle chiavi API di MailChimp API, gli sviluppatori delle app consentono agli hacker di accedere alle conversazioni e-mail, esfiltrare i dati dei clienti, ottenere mailing list, condurre campagne di attacco e manipolare i codici promozionali.
Inoltre, gli hacker potrebbero autorizzare app di terzi connesse a un account MailChimp. In totale, i ricercatori hanno individuato 319 chiavi API, di cui oltre un quarto (28%) risultava ancora valido. Inoltre, dodici chiavi consentivano la lettura delle e-mail.
Anche il leak delle chiavi API di MailGun consente ai malintenzionati di inviare e leggere le email, ma anche di ottenere credenziali SMTP, indirizzi IP e vari dati statistici. Inoltre, anche in questo caso è possibile esfiltrare le mailing list degli utenti.
SendGrid, invece, dispone di una piattaforma di comunicazione che aiuta le aziende a inviare e-mail transazionali e di marketing tramite un sistema basato su cloud. A causa del leak API, gli hacker possono inviare e-mail, creare chiavi API e controllare gli indirizzi IP utilizzati per l'accesso agli account.
- I migliori antivirus del 2022
Fonte: Infosecurity Magazine
