Para peneliti menemukan 1.550 aplikasi seluler membocorkan kunci API Algolia, mempertaruhkan pemaparan layanan internal yang sensitif dan menyimpan informasi pengguna.
Dari aplikasi tersebut, 32 mengungkapkan rahasia admin, termasuk 57 kunci admin unik, memberi penyerang cara untuk mengakses informasi pengguna yang sensitif atau mengubah catatan dan pengaturan indeks aplikasi.
Penemuan eksposur ini berasal dari perusahaan keamanan siber yang berbasis di Singapura, CloudSEK, yang membagikan temuan mereka secara eksklusif dengan BleepingComputer.
Detail API Algolia
Algolia API (Application Program Interface) adalah platform berpemilik untuk mengintegrasikan mesin telusur dengan fitur penemuan dan rekomendasi di situs web dan aplikasi yang digunakan oleh lebih dari 11.000 perusahaan.
Sistem menggunakan lima kunci API untuk Admin, Penelusuran, Pemantauan, Penggunaan, dan Analitik.
Dari kunci tersebut, hanya Penelusuran yang dimaksudkan untuk publik dan tersedia di kode front-end, membantu pengguna melakukan kueri penelusuran di aplikasi.
Kunci Pemantauan memberi admin gambaran sekilas tentang status kluster mereka, Penggunaan dan Analitik memberikan statistik penggunaan, sedangkan kunci Admin menawarkan akses ke empat layanan kunci API lainnya, serta yang berikut ini:
- Telusuri/Hapus indeks
- Tambah/Hapus catatan
- Daftar indeks
- Dapatkan/Atur pengaturan indeks
- Dapatkan log akses
- Dapatkan atribut yang tidak dapat diperbaiki
Menyalahgunakan layanan di atas dapat mengekspos data yang berisi perangkat pengguna dan detail akses jaringan, statistik penggunaan, log pencarian, dan manipulasi informasi terkait.
Mengekspos ID aplikasi dan kunci API
Pemindai otomatis CloudSEK menemukan bahwa 1.550 aplikasi membocorkan kunci Algolia API dan ID aplikasi, mempertaruhkan akses tidak sah ke informasi internal.
“Sementara kunci admin API memungkinkan pelaku ancaman untuk melakukan beberapa tindakan penting dan menyediakan akses ke data sensitif, bahkan dengan satu atau lebih kunci API lainnya, pelaku ancaman dapat mencari atau melihat data sensitif,” kata seorang analis CloudSEK kepada BleepingComputer.
“Juga, tergantung pada perubahan kode di versi aplikasi yang akan datang, pelaku ancaman mungkin dapat mengakses data yang lebih sensitif hanya dengan menggunakan kunci ini.”
32 aplikasi yang membocorkan kunci Admin API lebih kritis, karena mereka mengekspos penggunanya ke risiko kebocoran data dan database ke modifikasi berbahaya yang dapat menimbulkan kerugian bisnis.
Aplikasi yang memperlihatkan kunci Algolia Admin API memiliki sekitar 3.250.000, dengan beberapa aplikasi masing-masing memiliki lebih dari satu juta unduhan.
Kategori yang paling rentan terkena kunci adalah aplikasi belanja, yang diunduh secara kolektif sebanyak 2,3 juta kali.
Dalam daftar aplikasi bocor yang dibagikan dengan BleepingComputer, kategori lain termasuk aplikasi berita, makanan dan minuman, pendidikan, kebugaran, fotografi, gaya hidup, produktivitas, medis, dan aplikasi bisnis, diunduh secara kolektif lebih dari 950.000 kali.
CloudSEK mengatakan mereka menghubungi semua pengembang aplikasi untuk memberi tahu mereka tentang paparan tersebut tetapi belum mendapat kabar dari mereka.
