研究人员发现 1,550 个移动应用程序泄露了 Algolia API 密钥,存在泄露敏感内部服务和存储的用户信息的风险。
在这些应用程序中,有 32 个暴露了管理机密,包括 57 个唯一的管理密钥,使攻击者能够访问敏感的用户信息或修改应用程序索引记录和设置。
此次曝光的发现来自总部位于新加坡的网络安全公司 CloudSEK,该公司与 BleepingComputer 独家分享了他们的发现。
阿尔及利亚 API 详细信息
Algolia API(应用程序接口)是一个专有平台,用于将搜索引擎与 11,000 多家公司使用的网站和应用程序中的发现和推荐功能集成在一起。
该系统使用五个 API 密钥,分别用于管理、搜索、监控、使用和分析。
在这些键中,只有 Search 是公开的并可在前端代码中使用,以帮助用户在应用程序上执行搜索查询。
Monitoring 密钥让管理员了解他们的集群状态,Usage 和 Analytics 提供使用统计信息,而 Admin 密钥提供对其他四个 API 密钥服务的访问,以及以下内容:
浏览/删除索引
添加/删除记录
列出索引
获取/设置索引设置
获取访问日志
获取不可恢复的属性
滥用上述服务可能会暴露包含用户设备和网络访问详细信息、使用情况统计信息、搜索日志以及对相关信息的操纵的数据。
公开应用程序 ID 和 API 密钥
CloudSEK 的自动扫描仪发现 1,550 个应用程序正在泄露 Algolia API 密钥和应用程序 ID,存在未经授权访问内部信息的风险。
CloudSEK 的一位分析师告诉 BleepingComputer:“虽然管理 API 密钥使威胁行为者能够执行多项关键操作并提供对敏感数据的访问权限,但即使使用一个或多个其他 API 密钥,威胁行为者也可以搜索或查看敏感数据。”
“此外,根据未来版本应用程序的代码更改,威胁行为者可能仅使用这些密钥就可以访问更敏感的数据。”
泄露 Admin API 密钥的 32 个应用程序更为关键,因为它们使用户面临数据泄露风险,并使数据库面临可能导致业务损失的恶意修改。
公开 Algolia Admin API 密钥的应用程序大约有 3,250,000 个,其中一些应用程序的下载量超过一百万。
API 密钥泄露 (CloudSEK)
最容易暴露密钥的类别是购物应用程序,总共下载了 230 万次。
在与 BleepingComputer 共享的泄漏应用程序列表中,其他类别包括新闻应用程序、食品和饮料、教育、健身、摄影、生活方式、生产力、医疗和商业应用程序,总下载量超过 950,000 次。
CloudSEK 表示,他们联系了所有应用程序开发人员,提醒他们有关曝光的信息,但没有收到任何人的回复。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 安装量超过300万的应用程序泄露了“管理员”搜索API密钥
