Cụ thể, các nhà nghiên cứu an ninh mạng tại CloudSEK đã phát hiện ra những lỗ hổng nghiêm trọng này bằng cách sử dụng công cụ tìm kiếm bảo mật BeVigil của công ty để phân tích 600 ứng dụng trên Google Play. Ngay sau đó, CloudSEK đã thông báo cho các nhà phát triển ứng dụng Android về vấn đề này.
Một nửa số ứng dụng Android này đã làm rò rỉ khóa API của ba nhà cung cấp dịch vụ Marketing qua email hàng đầu là MailChimp, SendGrid và Mailgun. Các tác nhân đe dọa có thể lợi dụng để gửi email, xóa khóa API và thậm chí sửa đổi xác thực đa yếu tố (MFA).
Hơn 54 triệu người dùng phải đối mặt với rủi ro vì đã tải xuống các ứng dụng bị rò rỉ khóa API. Đa số nạn nhân đều tới từ Mỹ. Các quốc gia như Anh, Tây Ban Nha, Nga và Ấn Độ cũng chiếm một phần đáng kể.
Theo CloudSEK, tính bảo mật của khóa API trong cấu trúc phần mềm là cực kỳ quan trọng. Các nhà phát triển phần mềm phải tránh nhúng khóa API vào ứng dụng của họ và nên tuân theo các phương pháp triển khai và mã hóa an toàn như chuẩn hóa quy trình đánh giá, đổi, ẩn khóa API thường xuyên.
Trong 3 dịch vụ, MailChimp được cho là dịch vụ lớn nhất. Tin tặc có thể lợi dụng rò rỉ khóa API của MailChimp để đọc nội dung email, trích xuất trái phép dữ liệu khách hàng, lấy danh sách email, chạy các quảng cáo và điều chỉnh mã khuyến mại lừa đảo trên email.
Không những thế, kẻ tấn công có thể tự ủy quyền cho các ứng dụng của bên thứ ba được kết nối với tài khoản MailChimp. Tổng cộng, các nhà nghiên cứu đã xác định được 319 khóa API, với hơn một phần tư (28%) trong số đó là hợp lệ, 12 khóa được thêm vào để đọc nội dung trong email.
Việc rò rỉ các khóa API trên MailGun cũng cho phép các tác nhân đe dọa gửi và đọc email, đồng thời lấy chứng nhận Simple Mail Transfer Protocol (SMTP), địa chỉ IP cũng như các số liệu thống kê khác nhau. Nguy hiểm hơn, tin tặc cũng có thể đánh cắp danh sách email của khách hàng.
Mặt khác, SendGrid là một nền tảng giao tiếp giúp các công ty gửi email tiếp thị dựa trên đám mây. Với khóa API bị rò rỉ, tin tặc có thể gửi email, tạo khóa API mới và kiểm soát địa chỉ IP được sử dụng để truy cập tài khoản.
Trong thời kỳ số hóa, người dùng ngày càng phải cẩn trọng với các vụ tấn công mạng. 9mobi.vn sẽ liên tục cập nhật các thông tin mới nhất về vụ việc đến bạn đọc trong thời gian sớm nhất.
APPS LIÊN QUAN
Trend Micro Heartbleed Detector
Phát hiện lỗi trái tim rỉ máu trên Android