CloudSEK: il 50% delle app utilizza chiavi API di tre servizi di email marketing

L'azienda di sicurezza informatica basata sull'intelligenza artificiale CloudSEK ha recentemente esaminato 600 app Android popolari su Google Play e ha scoperto che circa il 50% delle app utilizzava chiavi API delle tre app di servizi di email marketing più popolari.

Il nome completo dell'API è Application Programming Interface, che consente alle applicazioni e ai servizi di funzionare senza problemi in background con siti Web di terze parti.

Le API sono tipi di applicazioni che le aziende e i servizi online utilizzano per raccogliere informazioni di contatto dei clienti e gestire campagne di marketing in uscita, il che significa che molti dati vulnerabili vengono trasmessi tramite chiavi API.

CloudSEK ha esaminato 600 app di Google Play utilizzando il proprio motore di sicurezza BeVigil e ha scoperto che circa la metà delle app utilizzava chiavi API di Mailchimp, Sendgrid e Mailgun. Tuttavia, le chiavi API di queste tre aziende presentano delle lacune che possono trasmettere dati sensibili a terze parti malintenzionate, compromettendo così la sicurezza dell'utente e diventando il bersaglio di truffatori informatici.

Le app interessate sono state scaricate oltre 54 milioni di volte e ciascuna di esse sta potenzialmente esponendo tutti i dettagli tramite chiavi API. Secondo CloudSek, la vulnerabilità avrebbe potuto consentire a malintenzionati di leggere e-mail, rubare dati dei clienti, accedere a elenchi di posta elettronica e persino condurre campagne di e-mail marketing per conto delle aziende interessate. Quest'ultimo aspetto implica che gli utenti esposti in questo modo saranno particolarmente vulnerabili alle sofisticate campagne di phishing, che saranno estremamente difficili da rilevare.

Da casa IT