Uma pesquisa realizada pela CloudSek analisou 600 aplicativos da Google Play Store e descobriu que 50% deles estavam vazando chaves de interface de programação de aplicativos (API, na sigla em inglês).
De acordo com os pesquisadores, os aplicativos identificados estavam vazando informações das APIs por disparadores de mensagens populares como Mailgun, SendGrid e MailChimp.
Leia mais:
- Falha de segurança no MacOS pode causar problemas sérios para a Apple
- Apple anuncia novos e avançados recursos para proteção de dados
- Ataque zumbi no Android! Campanha de malware invade dispositivos e rouba dados
Conforme explica a InfoSecurity Magazine, por meio desses disparadores, os malfeitores poderiam realizar algumas ações como enviar e-mails, excluir chaves de API e fazer alterações na autenticação de dois fatores. As APIs são softwares que permitem que os aplicativos realizem comunicações sem precisar dos usuários.
“Na arquitetura de software moderna, as APIs integram novos componentes de aplicativos na estrutura existente. Portanto, sua segurança se tornou imperativa”, alertou a CloudSEK em comunicado. “Os desenvolvedores de software devem evitar a incorporação de chaves de API em seus aplicativos e devem seguir práticas seguras de codificação e implantação, como padronizar procedimentos de revisão, girar chaves, ocultar chaves e usar o cofre”.
A pesquisa mostra que de 319 chaves de API, 12 foram consideradas casos mais graves pois permitiam a leitura de e-mails. Ao todo, os aplicativos foram baixados por 54 milhões de pessoas, sendo que a maioria está localizada nos Estados Unidos, Reino Unido, Espanha, Rússia e Índia.
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Tags: