インストール数300 万アプリAlgoliaの「Admin」権限APIキーが漏洩

World with a lock overlayed on it

1,550 のモバイル アプリが Algolia API キーを漏えいし、機密の内部サービスと保存されたユーザー情報が公開される危険性があることがあることが発覚しました

これらのアプリのうち、57 個の一意の管理者キーを含む 32 個のアプリが管理者の秘密を公開しており、攻撃者がユーザーの機密情報にアクセスしたり、アプリのインデックス レコードや設定を変更したりする方法を提供しています。

この露出の発見は、シンガポールに本拠を置くサイバーセキュリティ会社 CloudSEK によって発見され、彼らの調査結果を共有しました。

Algolia API の詳細

Algolia API (Application Program Interface) は、11,000 を超える企業が使用する Web サイトやアプリケーションで、検索エンジンを発見および推奨機能と統合するための独自のプラットフォームです。

システムは、管理、検索、監視、使用状況、分析の 5 つの API キーを使用します。

これらのキーのうち、Search のみが公開され、フロントエンド コードで利用できるようになっているため、ユーザーはアプリで検索クエリを実行できます。

Monitoring キーは管理者にクラスタのステータスを垣間見せ、Usage and Analytics は使用統計を提供します。一方、Admin キーは他の 4 つの API キー サービスと以下へのアクセスを提供します。

  • 索引の参照/削除
  • レコードの追加/削除
  • リスト インデックス
  • インデックス設定の取得/設定
  • アクセスログを取得する
  • 回復不可能な属性を取得する

上記のサービスを悪用すると、ユーザー デバイスとネットワーク アクセスの詳細、使用統計、検索ログ、および関連情報の操作を含むデータが公開される可能性があります。

アプリ ID と API キーの公開

CloudSEK の自動スキャナーは、1,550 のアプリケーションが Algolia API キーとアプリケーション ID を漏洩しており、内部情報への不正アクセスのリスクがあることを発見しました。

「管理APIキーを使用すると、攻撃者はいくつかの重要なアクションを実行でき、機密データへのアクセスが可能になりますが、他のAPIキーが1つ以上ある場合でも、攻撃者は機密データを検索または表示できます」とCloudSEKアナリストは語っています

「また、アプリの将来のバージョンでのコードの変更によっては、攻撃者がこれらのキーだけを使用して、より機密性の高いデータにアクセスできる可能性があります。」

管理 API キーを漏えいする 32 のアプリは、ユーザーをデータ漏えいのリスクにさらし、データベースを悪意のある変更にさらしてビジネスに損害を与える可能性があるため、より重要です。

Algolia Admin API キーを公開しているアプリの数は約 3,250,000 で、一部のアプリはそれぞれ 100 万回以上ダウンロードされています。

API キーの漏洩
API キーの漏洩(CloudSEK)

キーが公開される傾向が最も高いカテゴリはショッピング アプリで、合計で 230 万回ダウンロードされました。

と共有されている漏えいアプリのリストには、ニュース アプリ、食べ物と飲み物、教育、フィットネス、写真、ライフスタイル、生産性、医療、ビジネス アプリなどのカテゴリがあり、合計で 950,000 回以上ダウンロードされています。

CloudSEK によると、すべてのアプリ開発者に連絡を取り、暴露について警告しましたが、誰からも連絡がありませんでした。

コメント

タイトルとURLをコピーしました