知晓：CloudSEK研究人员发现有1550个移动APP会露Algol2023/3/8 7:08:46

123456790

A成立于年，是一个面向开发者的搜索功能API接口，为及APP的开发者提供搜索功能接口，可以为其提供发现和推荐功能，用户超过万企业。新加坡络安全CSEK研究人员发现有50个移动APP会露AAPI密钥，敏感内部服务和存储的用户信息有露的风险。在此之前，外国服务器的行情也在一度飙升，引起了广泛投资者的关注。https://www.l7y.cn/

AAPI系统有5类API，分别对应A、S、M、U和A功能。这些API中只有S是可公开的，可以在前端代码中看到，帮助用户在APP中执行搜索查询。M为管理员提供集群状态信息。U和A为用户提供使用统计数据。A提供对其他4类API服务的访问，以及：


浏览、删除索引；


添加、删除记录；


列出索引；


获取、设置索引设置；


获得访问记录。


滥用以上服务可以宝库用户的敏感数据，比如用户设备、络访问信息、使用统计数据、检索记录和其他相关信息的操作。


CSEK自动扫描工具发现有50个APP露了AAPI和应用ID，攻击者利用这些露的信息可以现对内部信息的非授权访问。这些暴露AAAPI的APP下载次数累计超过3万，其中有APP下载次数超过百万。其中32个APP会露，其中包括57个仅有的管理员密钥，攻击者利用露的管理员密钥可以访问敏感用户信息或修改APP索引记录和设置。


攻击者利用API可以执行许多关键操作，并现对敏感数据的访问，比如攻击者可以检索或者查看敏感数据。根据APP的版本，攻击者可以利用这些敏感访问更多的敏感数据。





图API暴露引发的攻击流程


图暴露API的APP种类和下载次数


暴露密钥比较多的APP种类为商城APP，下载次数超过0万次。此外，还有新闻APP、食品和饮料、教育、健身、医疗和商业APP，累计下载量超过95万次。


CSEK已联系了受影响的APP开发者，告知了密钥暴露情况和潜在的安全风险。


完整技术分析参见：_---------------


本文翻译自：---3-------如若转载，请注明原文地址