Cientos de aplicaciones de Android que se distribuyen a través de Google Play Store filtran claves de la interfaz de programación de aplicaciones (API), lo que pone a los usuarios en riesgo de robo de identidad. (se abre en una pestaña nueva) y otras amenazas.
Los riesgos fueron encontrados por investigadores de ciberseguridad en CloudSEK, quienes utilizaron el motor de búsqueda de seguridad BeVigil de la compañía para analizar 600 aplicaciones en Play Store.
En general, el equipo descubrió que la mitad (50 %) estaba filtrando claves API de los tres principales proveedores de servicios de transacciones y marketing por correo electrónico, lo que ponía a los usuarios en riesgo de fraude o estafa.
MailChimp, SendGrid, MailGun
CloudSEK descubrió que las aplicaciones filtraban API de MailChimp, SendGrid y Mailgun, lo que permitía a los posibles actores de amenazas enviar correos electrónicos, eliminar las claves de API e incluso modificar la autenticación multifactor (MFA). Desde entonces, CloudSEK notificó a los desarrolladores de aplicaciones sobre sus hallazgos.
Entre ellos, las aplicaciones fueron descargadas por 54 millones de personas, que ahora están en riesgo. La mayoría de las víctimas potenciales se encuentran en los Estados Unidos, y el Reino Unido, España, Rusia e India también representan una parte considerable.
“En la arquitectura de software moderna, las API integran nuevos componentes de aplicaciones en la arquitectura existente. Por lo que su seguridad se ha vuelto imperativa”, comentó CloudSEK. “Los desarrolladores de software deben evitar incrustar claves API en sus aplicaciones y deben seguir prácticas seguras de codificación e implementación como estandarizar procedimientos de revisión, rotar claves, ocultar claves y usar bóveda”.
Entre los tres servicios, MailChimp es posiblemente el más grande y, al filtrar las claves API de MailChimp, los desarrolladores de aplicaciones permitirían a los actores de amenazas leer conversaciones de correo electrónico, filtrar datos de clientes, obtener listas de correo electrónico, ejecutar campañas de correo electrónico propias y manipular códigos promocionales.
Además, los piratas informáticos podrían autorizar aplicaciones de terceros conectadas a una cuenta de MailChimp. En total, los investigadores identificaron 319 claves API, siendo válidas más de una cuarta parte (28%). Doce claves permitidas para la lectura de correo electrónico, se agregó.
La fuga de claves API de MailGun también permite a los actores de amenazas enviar y leer correos electrónicos, pero también obtener credenciales del Protocolo simple de transferencia de correo (SMTP), direcciones IP y varias estadísticas. Además, también podrían filtrar las listas de correo de los clientes.
SendGrid, por otro lado, es una plataforma de comunicación que ayuda a las empresas a entregar correos electrónicos transaccionales y de marketing a través de una plataforma de entrega de correo electrónico basada en la nube. Con una fuga de API, los piratas informáticos podrían enviar correos electrónicos, crear claves de API y controlar las direcciones IP utilizadas para acceder a las cuentas.
Vía: Revista Infoseguridad (se abre en una pestaña nueva)