Los expertos en ciberseguridad han descubierto más de mil aplicaciones móviles con una API defectuosa que están filtrando puntos finales sensibles. (se abre en una pestaña nueva) e información del usuario.
Los investigadores de CloudSEK encontraron 1550 aplicaciones móviles que utilizan Alogolia, una API patentada que ayuda a los desarrolladores móviles a integrar motores de búsqueda con funciones de descubrimiento y recomendación que se encuentran en sitios web y aplicaciones.
Según la empresa, esta API es utilizada por más de 11.000 empresas en todo el mundo.
Abusando del servicio
Aligolia viene con cinco claves API: administración, búsqueda, monitoreo, uso y análisis, y según los investigadores, la búsqueda es la única clave que debe estar disponible públicamente en el front-end, ya que ayuda a los usuarios a realizar búsquedas en la aplicación. El monitoreo permite el acceso al estado del clúster, el uso y el análisis se explican por sí mismos, mientras que la clave Admin brinda acceso a las otras cuatro claves, así como a otras funciones.
Ahora, los investigadores han descubierto que era posible abusar de estos servicios y así exponer los datos que manejan.
«Si bien la clave API de administración permite a los actores de amenazas realizar varias acciones críticas y brinda acceso a datos confidenciales, incluso con una o más de las otras claves API, los actores de amenazas pueden buscar o ver datos confidenciales», dijo un analista de CloudSEK. BleepingEquipo.
«Además, dependiendo de los cambios de código en futuras versiones de las aplicaciones, los actores de amenazas pueden acceder a datos más confidenciales usando solo estas claves».
De las 1550 aplicaciones en cuestión, 32 secretos de administración filtrados, incluidas 57 claves de administración únicas. Con estos, un actor de amenazas no solo podría acceder a información confidencial del usuario (se abre en una pestaña nueva)pero también juega con los registros y la configuración del índice de la aplicación.
En total, las aplicaciones que filtran la clave de administrador se han descargado aproximadamente 3 250 000 veces. Algunas aplicaciones tienen más de un millón de descargas, se dijo. Las aplicaciones se dividen en todo tipo de categorías, desde aplicaciones de noticias, aplicaciones de alimentos y bebidas, hasta educación, fitness, aplicaciones comerciales y muchas otras.
CloudSEK no proporcionó la lista de aplicaciones afectadas, pero sí dijo que contactó a sus desarrolladores y no ha recibido respuesta.
Vía: BleepingComputer (se abre en una pestaña nueva)