Hackere

Apps med over 3 millioner installationer lækker ‘Admin’ søge-API-nøgler

Forskere har nu opdagede 1.550 mobilapps, der lækkede Algolia API-nøgler, hvilket risikerede eksponeringen af følsomme interne tjenester og lagrede brugeroplysninger.

Af disse apps afslører 32 administratorhemmeligheder, herunder 57 unikke administratornøgler, hvilket giver angribere en måde at få adgang til følsomme brugeroplysninger eller ændre appindeksposter og -indstillinger.

Opdagelsen af denne eksponering kommer fra det Singapore-baserede cybersikkerhedsfirma CloudSEK og BleepingComputer.

Oplysninger om Algolia API

Algolia API (Application Program Interface) er en proprietær platform til integration af søgemaskiner med opdagelses- og anbefalingsfunktioner på websteder og applikationer, der bruges af over 11.000 virksomheder jf. algolia.com.

Systemet bruger fem API-nøgler til Admin, Search, Monitoring, Usage og Analytics.

Af disse nøgler er det kun søgningen, der er beregnet til at være offentlig og tilgængelig på front-end-kode, hvilket hjælper brugerne med at udføre søgeforespørgsler på apps.

Overvågningsnøglen giver administratorer et glimt af deres klyngestatus, Brug og Analytics giver brugsstatistik, mens administratornøglen giver adgang til de fire andre API-nøgletjenester samt følgende:

  • Gennemse/slet indekset
  • Tilføje/slette poster
  • Liste indekser
  • Hent/indstil indeksindstillinger
  • Få adgangslogfiler
  • Få uigenkaldelige attributter

Misbrug af ovenstående tjenester kan afsløre data, der indeholder oplysninger om brugerenhed og netværksadgang, brugsstatistikker, søgelogfiler og manipulation af de tilknyttede oplysninger.

Eksponering af app-id og API-nøgler

CloudSEK’s automatiserede scannere fandt ud af, at 1.550 applikationer lækker Algolia API-nøglen og applikations-id’et og risikerer uautoriseret adgang til interne oplysninger.

“Mens admin API-nøglen gør det muligt for trusselsaktører at udføre flere kritiske handlinger og giver adgang til følsomme data, selv med en eller flere af de andre API-nøgler, kan trusselsaktører søge eller se følsomme data,” sagde en CloudSEK-analytiker til BleepingComputer.

“Afhængigt af kodeændringer i fremtidige versioner af apps kan trusselsaktører muligvis få adgang til mere følsomme data ved hjælp af netop disse nøgler.”

De 32 apps, der lækker Admin API-nøgler, er mere kritiske, da de udsætter deres brugere for datalækagerisici og databaserne for ondsindede ændringer, der kan medføre forretningsskader.

De apps, der udsætter Algolia Admin API-nøgler, har cirka 3,250,000, hvor nogle apps har over en million downloads hver.

billede-1-52

API keys leakLækage af API-nøgler (CloudSEK)

Den kategori, der var mest tilbøjelig til eksponerede nøgler, var shoppingapps, samlet downloadet 2.3 millioner gange.

På en liste over utætte apps, der deles med BleepingComputer, omfatter andre kategorier nyhedsapps, mad og drikke, uddannelse, fitness, fotografering, livsstil, produktivitet, medicinske apps og forretningsapps, der samlet er downloadet over 950.000 gange.

CloudSEK siger, at de kontaktede alle appudviklerne for at advare dem om eksponeringen, men har ikke hørt tilbage fra nogen af dem.

Kilde: Cloudsek, Bleebing Computer.
Fotokredit: Cloudsek, Bleebing Computer og Fotolia.

Scroll to Top