Les experts en cybersécurité ont découvert plus d’un millier d’applications mobiles contenant une API défectueuse qui fuient des terminaux sensibles (s’ouvre dans un nouvel onglet) et les informations de l’utilisateur.
Les chercheurs de CloudSEK ont trouvé 1 550 applications mobiles utilisant Alogolia, une API propriétaire qui aide les développeurs mobiles à intégrer les moteurs de recherche avec des fonctionnalités de découverte et de recommandation trouvées dans les sites Web et les applications.
Selon l’entreprise, cette API est utilisée par plus de 11 000 entreprises dans le monde.
Abus du service
Aligolia est livré avec cinq clés API – Admin, Search, Monitoring, Usage et Analytics, et selon les chercheurs, Search est la seule clé censée être disponible publiquement sur le front-end, car elle aide les utilisateurs à effectuer des recherches dans l’application. La surveillance permet d’accéder à l’état du cluster, l’utilisation et l’analyse sont assez explicites, tandis que la clé Admin donne accès aux quatre autres clés, ainsi qu’à un certain nombre d’autres fonctionnalités.
Or, les chercheurs ont découvert qu’il était possible d’abuser de ces services et ainsi d’exposer les données qu’ils manipulent.
« Alors que la clé API d’administration permet aux acteurs de la menace d’effectuer plusieurs actions critiques et donne accès à des données sensibles, même avec une ou plusieurs des autres clés API, les acteurs de la menace peuvent rechercher ou afficher des données sensibles », a déclaré un analyste de CloudSEK. BipOrdinateur.
« De plus, en fonction des changements de code dans les futures versions des applications, les acteurs de la menace peuvent être en mesure d’accéder à des données plus sensibles en utilisant uniquement ces clés. »
Sur les 1 550 applications en question, 32 secrets d’administration ont fui, dont 57 clés d’administration uniques. Avec ceux-ci, un acteur de la menace pourrait non seulement accéder aux informations sensibles des utilisateurs (s’ouvre dans un nouvel onglet)mais jouez également avec les enregistrements et les paramètres de l’index des applications.
Au total, les applications qui fuient la clé Admin ont été téléchargées environ 3 250 000 fois. Certaines applications ont plus d’un million de téléchargements, a-t-on dit. Les applications appartiennent à toutes sortes de catégories, des applications d’actualités aux applications de restauration, en passant par l’éducation, le fitness, les applications professionnelles et bien d’autres.
CloudSEK n’a pas fourni la liste des applications concernées, mais il a déclaré avoir contacté leurs développeurs et – n’a pas eu de réponse.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)