数百个Android应用程序发现API密钥泄漏使用户面临风险
已发现通过GooglePlay商店分发的数百个Android应用程序泄露了应用程序编程接口(API)密钥,使用户面临身份盗用的风险(在新标签页中打开)和其他威胁。
这些风险是由CloudSEK的网络安全研究人员发现的,他们使用该公司的BeVigil安全搜索引擎分析了Play商店中的600个应用程序。
总体而言,该团队发现一半(50%)泄露了三大顶级交易和电子邮件营销服务提供商的API密钥,使用户面临欺诈或诈骗的风险。
CloudSEK发现这些应用程序从MailChimp、SendGrid和Mailgun泄漏API,允许潜在的威胁参与者发送电子邮件、删除API密钥,甚至修改多因素身份验证(MFA)。CloudSEK此后将其调查结果通知了应用程序的开发人员。
在他们之间,有5400万人下载了这些应用程序,这些人现在处于危险之中。大多数潜在受害者位于美国,英国、西班牙、俄罗斯和印度也占很大一部分。
“在现代软件架构中,API将新的应用程序组件集成到现有架构中。因此,它的安全性已变得势在必行,”CloudSEK评论道。“软件开发人员必须避免将API密钥嵌入到他们的应用程序中,并应遵循安全编码和部署实践,例如标准化审查程序、轮换密钥、隐藏密钥和使用保险库。”
在这三项服务中,MailChimp可以说是最大的,通过泄露MailChimpAPI密钥,应用程序开发人员将允许威胁行为者阅读电子邮件对话、窃取客户数据、获取电子邮件列表、运行自己的电子邮件活动以及操纵促销代码。
此外,黑客可以授权连接到MailChimp帐户的第三方应用程序。研究人员总共确定了319个API密钥,其中超过四分之一(28%)有效。添加了十二个用于阅读电子邮件的键。
泄露的MailGunAPI密钥还允许威胁参与者发送和阅读电子邮件,还可以获取简单邮件传输协议(SMTP)凭证、IP地址以及各种统计数据。此外,他们还能够窃取客户邮件列表。
另一方面,SendGrid是一个通信平台,可帮助公司通过基于云的电子邮件传送平台传送交易和营销电子邮件。通过API泄漏,黑客将能够发送电子邮件、创建API密钥并控制用于访问帐户的IP地址。
推荐阅读
- 奥运主题歌张杰 张靓颖、张杰、易烊千玺……谁来唱响2022北京冬奥会开幕主题曲
- 吉他 尤克里里 区别,如何区分尤克里里和吉他
- 侠盗猎车圣安地斯秘籍/侠盗猎车圣安地斯,作弊码
- 去一趟巴厘岛旅游要多少钱简介
- 苹果6s怎么升级系统,苹果6s怎么设置铃声
- 如何涂指甲油,怎样涂指甲油干得快
- 纪念碑谷艾达的梦攻略第四关,纪念碑谷艾达的梦攻略
- udk虚幻4引擎(游戏开发包工具)软件介绍(udk虚幻4引擎(游戏开发包工具))
- OG梅奥为什么离开nba Pubmed GIST文献月评第十九期(Jun 2018)
- 12306用户名和密码忘记怎么找回账号,12306用户名和密码忘记怎么找回
- 哈尔滨市极乐寺简介
- 二人麻将打法技巧,迅速如何掌握二人麻将技巧
- 故宫门票多少钱一张2021,故宫门票多少钱
- 如何删除微信中的表情包,微信如何删除自己保存的表情
- dnf已经有红字的怎么把红字洗掉,dnf已经洗出红字的装备怎么洗掉
- 海蛏子的家常做法,海蛏子的做法大全
- 微信聊天记录怎么恢复吗,微信聊天记录怎么恢复方法:
- qq飞车帧数如何能锁,QQ飞车帧数如何修改
- 1盎司相当于多少克黄金,盎司等于多少克及一盎司黄金等于多少克
- 怎么恢复路由器出厂,怎样恢复路由器出厂设置