数百个Android应用程序发现API密钥泄漏使用户面临风险

已发现通过GooglePlay商店分发的数百个Android应用程序泄露了应用程序编程接口(API)密钥，使用户面临身份盗用的风险(在新标签页中打开)和其他威胁。

这些风险是由CloudSEK的网络安全研究人员发现的，他们使用该公司的BeVigil安全搜索引擎分析了Play商店中的600个应用程序。

总体而言，该团队发现一半(50%)泄露了三大顶级交易和电子邮件营销服务提供商的API密钥，使用户面临欺诈或诈骗的风险。

CloudSEK发现这些应用程序从MailChimp、SendGrid和Mailgun泄漏API，允许潜在的威胁参与者发送电子邮件、删除API密钥，甚至修改多因素身份验证(MFA)。CloudSEK此后将其调查结果通知了应用程序的开发人员。

在他们之间，有5400万人下载了这些应用程序，这些人现在处于危险之中。大多数潜在受害者位于美国，英国、西班牙、俄罗斯和印度也占很大一部分。

“在现代软件架构中，API将新的应用程序组件集成到现有架构中。因此，它的安全性已变得势在必行，”CloudSEK评论道。“软件开发人员必须避免将API密钥嵌入到他们的应用程序中，并应遵循安全编码和部署实践，例如标准化审查程序、轮换密钥、隐藏密钥和使用保险库。”

在这三项服务中，MailChimp可以说是最大的，通过泄露MailChimpAPI密钥，应用程序开发人员将允许威胁行为者阅读电子邮件对话、窃取客户数据、获取电子邮件列表、运行自己的电子邮件活动以及操纵促销代码。

此外，黑客可以授权连接到MailChimp帐户的第三方应用程序。研究人员总共确定了319个API密钥，其中超过四分之一(28%)有效。添加了十二个用于阅读电子邮件的键。

泄露的MailGunAPI密钥还允许威胁参与者发送和阅读电子邮件，还可以获取简单邮件传输协议(SMTP)凭证、IP地址以及各种统计数据。此外，他们还能够窃取客户邮件列表。

另一方面，SendGrid是一个通信平台，可帮助公司通过基于云的电子邮件传送平台传送交易和营销电子邮件。通过API泄​​漏，黑客将能够发送电子邮件、创建API密钥并控制用于访问帐户的IP地址。