AI 網路安全公司 CloudSEK 近日調查了 Google Play 上的 600 款熱門安卓 App,發現 50% 左右 App 使用了來自三家最受歡迎的電子郵件營銷服務應用的 API 金鑰。
API 的全稱叫做應用程式程式設計介面(application programming interface),讓應用程式、服務能在後臺和第三方網站無縫協作。
API 是線上公司和服務用來收集客戶聯絡資訊和管理對外營銷活動的應用程式型別,這意味著有很多脆弱的資料透過 API 金鑰來傳輸的。
CloudSEK 透過自家的 BeVigil 安全引擎調查了 600 款 Google Play 的 App,發現大約一半的 App 使用了 Mailchimp、Sendgrid 和 Mailgun 的 API 金鑰。而這三家 API 金鑰存在漏洞,可以將敏感資料傳遞給惡意的第三方,從而影響使用者的使用安全,成為網路騙子的目標。
受影響的 App 已經被下載超過 5400 萬次,其中每一個 App 現在都有可能透過 API 金鑰洩露任何和所有的細節。據 CloudSek 稱,該漏洞可能使惡意行為者能夠閱讀電子郵件,竊取客戶資料,訪問電子郵件列表,甚至作為受影響企業的代表開展電子郵件營銷活動。這最後一個意味著以這種方式暴露的使用者將特別容易受到複雜的網路釣魚活動的影響,而這些活動將非常難以發現。
自 IT之家