Araştırmacılar, algolia API anahtarlarını sızdıran 1.550 mobil uygulama keşfetti, hassas dahili hizmetlerin ve saklanan kullanıcı bilgilerinin maruz kalmasını riske attı.
Bu uygulamalardan 32, 57 benzersiz yönetici anahtarı da dahil olmak üzere yönetici sırlarını ortaya çıkarır ve saldırganlara hassas kullanıcı bilgilerine erişmenin veya uygulama dizin kayıtlarını ve ayarlarını değiştirmenin bir yolu verir.
Bu maruziyetin keşfi, bulgularını sadece BleepingComputer ile paylaşan Singapur merkezli siber güvenlik firması Cloudsek'ten geliyor.
Algolia API (Uygulama Programı arayüzü), arama motorlarını 11.000'den fazla şirket tarafından kullanılan web sitelerinde ve uygulamalarda keşif ve tavsiye özellikleri ile entegre etmek için özel bir platformdur.
Sistem, yönetici, arama, izleme, kullanım ve analitik için beş API anahtarı kullanır.
Bu anahtarlardan, yalnızca arama, kamuya açık ve ön uç kodda mevcuttur ve kullanıcıların uygulamalarda arama sorguları gerçekleştirmelerine yardımcı olur.
İzleme anahtarı, yöneticilere küme durumlarına, kullanım ve analitiklerine bir bakış sunarken, kullanım istatistikleri verirken, yönetici anahtarı diğer dört API anahtar hizmetine ve aşağıdakilere erişim sağlar:
Yukarıdaki hizmetlerin kötüye kullanılması, kullanıcı cihazı ve ağ erişim ayrıntıları, kullanım istatistikleri, arama günlükleri ve ilişkili bilgilerin manipülasyonunu içeren verileri ortaya çıkarabilir.
CloudSek’in otomatik tarayıcıları, 1.550 uygulamanın Algolia API anahtarını ve uygulama kimliğini sızdırdığını ve dahili bilgilere yetkisiz erişim riskiyle karşı karşıya kaldığını buldu.
Bir CloudSek analisti BleepingComputer'a verdiği demeçte, "Yönetici API anahtarı, tehdit aktörlerinin birkaç kritik eylem gerçekleştirmelerini sağlar ve diğer API anahtarlarından bir veya daha fazlası olsa bile hassas verilere erişim sağlarken, tehdit aktörleri hassas verileri arayabilir veya görüntüleyebilir." Dedi.
"Ayrıca, uygulamaların gelecekteki sürümlerindeki kod değişikliklerine bağlı olarak, tehdit aktörleri sadece bu anahtarları kullanarak daha hassas verilere erişebilir."
Yönetici API anahtarlarını sızdıran 32 uygulama, kullanıcılarını veri sızıntı risklerine ve veritabanlarına iş hasarına maruz kalabilecek kötü amaçlı değişikliklere maruz bıraktıkları için daha kritiktir.
Algolia Admin API anahtarlarını ortaya çıkaran uygulamalar yaklaşık 3.250.000'e sahiptir ve bazı uygulamaların her biri bir milyondan fazla indirme yapmıştır.
Maruz kalan anahtarlara en yatkın kategori, toplu olarak 2,3 milyon kez indirilen alışveriş uygulamalarıydı.
BleepingComputer ile paylaşılan sızdıran uygulamalar listesinde, diğer kategoriler arasında haber uygulamaları, yiyecek ve içecek, eğitim, fitness, fotoğraf, yaşam tarzı, üretkenlik, tıbbi ve iş uygulamaları, toplu olarak 950.000'den fazla indirildi.
CloudSek, pozlama konusunda onları uyarmak için tüm uygulama geliştiricileriyle temasa geçtiklerini, ancak bunlardan hiçbirinden haber almadıklarını söylüyor.
DuckDuckgo artık tüm Android kullanıcılarının uygulamalarındaki izleyicileri engellemesine izin veriyor
ABD Govt çalışanları, modası geçmiş Android, iOS'tan mobil saldırılara maruz kaldı
Android Dosya Yöneticisi Uygulamaları Binlerce'yi Sharkbot ile Enfekte
Google, 2023'ün başlarından itibaren Android 13'te gizlilik sanal alanını sunacak
Google, Android konum izleme davası yerleştirmek için 391 milyon dolar ödeyecek
Kaynak: Bleeping Computer