Des centaines d’applications Android distribuées via le Google Play Store ont révélé des fuites de clés d’interface de programmation d’applications (API), exposant les utilisateurs à un risque d’usurpation d’identité. (s’ouvre dans un nouvel onglet) et autres menaces.
Les risques ont été découverts par des chercheurs en cybersécurité de CloudSEK, qui ont utilisé le moteur de recherche de sécurité BeVigil de la société pour analyser 600 applications sur le Play Store.
Dans l’ensemble, l’équipe a découvert que la moitié (50 %) fuyaient les clés API des trois principaux fournisseurs de services de transaction et de marketing par e-mail, exposant les utilisateurs à des risques de fraude ou d’escroquerie.
MailChimp, SendGrid, MailGun
CloudSEK a découvert que les applications fuyaient les API de MailChimp, SendGrid et Mailgun, permettant aux acteurs potentiels de la menace d’envoyer des e-mails, de supprimer les clés API et même de modifier l’authentification multifacteur (MFA). CloudSEK a depuis informé les développeurs des applications de ses découvertes.
Entre eux, les applications ont été téléchargées par 54 millions de personnes, qui sont maintenant à risque. La plupart des victimes potentielles se trouvent aux États-Unis, le Royaume-Uni, l’Espagne, la Russie et l’Inde, représentant également une part importante.
« Dans l’architecture logicielle moderne, les API intègrent de nouveaux composants d’application dans l’architecture existante. Sa sécurité est donc devenue impérative », a commenté CloudSEK. « Les développeurs de logiciels doivent éviter d’intégrer des clés API dans leurs applications et doivent suivre des pratiques de codage et de déploiement sécurisées telles que la normalisation des procédures d’examen, la rotation des clés, le masquage des clés et l’utilisation du coffre-fort. »
Entre les trois services, MailChimp est sans doute le plus important, et en divulguant les clés de l’API MailChimp, les développeurs d’applications permettraient aux acteurs de la menace de lire les conversations par e-mail, d’exfiltrer les données des clients, de saisir des listes de diffusion, de lancer leurs propres campagnes par e-mail et de manipuler les codes promotionnels.
De plus, les pirates pourraient autoriser des applications tierces connectées à un compte MailChimp. Au total, les chercheurs ont identifié 319 clés API, dont plus d’un quart (28 %) sont valides. Douze touches autorisées pour la lecture des e-mails, a-t-il été ajouté.
Les fuites de clés API MailGun permettent également aux pirates d’envoyer et de lire des e-mails, mais aussi d’obtenir des informations d’identification SMTP (Simple Mail Transfer Protocol), des adresses IP, ainsi que diverses statistiques. De plus, ils pourraient également exfiltrer les listes de diffusion des clients.
SendGrid, d’autre part, est une plate-forme de communication qui aide les entreprises à envoyer des e-mails transactionnels et marketing via une plate-forme de livraison d’e-mails basée sur le cloud. Avec une fuite d’API, les pirates pourraient envoyer des e-mails, créer des clés API et contrôler les adresses IP utilisées pour accéder aux comptes.
Via : Infosecurity Magazine (s’ouvre dans un nouvel onglet)