12 月 21 日消息，AI 網(wǎng)絡(luò)安全公司 CloudSEK 近日調(diào)查了 Google Play 上的 600 款熱門(mén)安卓 App，發(fā)現(xiàn) 50% 左右 App 使用了來(lái)自三家最受歡迎的電子郵件營(yíng)銷(xiāo)服務(wù)應(yīng)用的 API 密鑰。

IT之家了解到，API 的全稱(chēng)叫做應(yīng)用程序編程接口(application programming interface)，讓?xiě)?yīng)用程序、服務(wù)能在后臺(tái)和第三方網(wǎng)站無(wú)縫協(xié)作。

API 是在線(xiàn)公司和服務(wù)用來(lái)收集客戶(hù)聯(lián)系信息和管理對(duì)外營(yíng)銷(xiāo)活動(dòng)的應(yīng)用程序類(lèi)型，這意味著有很多脆弱的數(shù)據(jù)通過(guò) API 密鑰來(lái)傳輸?shù)摹?/p>

CloudSEK 通過(guò)自家的 BeVigil 安全引擎調(diào)查了 600 款 Google Play 的 App，發(fā)現(xiàn)大約一半的 App 使用了 Mailchimp、Sendgrid 和 Mailgun 的 API 密鑰。而這三家 API 密鑰存在漏洞，可以將敏感數(shù)據(jù)傳遞給惡意的第三方，從而影響用戶(hù)的使用安全，成為網(wǎng)絡(luò)騙子的目標(biāo)。

受影響的 App 已經(jīng)被下載超過(guò) 5400 萬(wàn)次，其中每一個(gè) App 現(xiàn)在都有可能通過(guò) API 密鑰泄露任何和所有的細(xì)節(jié)。據(jù) CloudSek 稱(chēng)，該漏洞可能使惡意行為者能夠閱讀電子郵件，竊取客戶(hù)數(shù)據(jù)，訪(fǎng)問(wèn)電子郵件列表，甚至作為受影響企業(yè)的代表開(kāi)展電子郵件營(yíng)銷(xiāo)活動(dòng)。這最后一個(gè)意味著以這種方式暴露的用戶(hù)將特別容易受到復(fù)雜的網(wǎng)絡(luò)釣魚(yú)活動(dòng)的影響，而這些活動(dòng)將非常難以發(fā)現(xiàn)。

關(guān)鍵詞：