Hãng bảo mật CloudSEK (Ấn Độ) cho biết, trong số 13.000 ứng dụng được tải lên công cụ tìm kiếm bảo mật BeVigil dành cho các ứng dụng di động, có khoảng 250 ứng dụng sử dụng API Razorpay để giao dịch tài chính. Trong đó, khoảng 5% trong số này đã bị lộ khóa ID tích hợp thanh toán và khóa bí mật. Lỗ hổng không tồn tại trong Razorpay mà xuất phát từ việc các nhà phát triển ứng dụng đang xử lý các API không đúng cách.
Khi nhắc đến các cổng thanh toán, khóa API là sự kết hợp giữa key_id và key_secret để thực hiện các truy vấn API đến nhà cung cấp dịch vụ thanh toán. Trong quá trình tích hợp, các nhà phát triển đã vô tình nhúng khóa API vào source code. Mặc dù, các nhà phát triển có thể nhận thức được việc để lộ khóa API trong ứng dụng di động nhưng họ có thể không lường trước hệ quả gây ra cho toàn bộ hệ sinh thái.
CloudSEK cho biết thêm: một loạt các doanh nghiệp lớn nhỏ phục vụ cho hàng triệu người dùng có các ứng dụng dành cho thiết bị di động với các khóa API được mã hóa cứng trong các gói ứng dụng. Các khóa này có thể dễ dàng bị phát hiện bởi tin tặc hoặc đối thủ cạnh tranh và có thể sử dụng chúng để thâm nhập dữ liệu và mạng của người dùng.
Các dữ liệu có thể bị lộ lọt bao gồm thông tin người dùng như số điện thoại, địa chỉ email, ID và số tiền giao dịch cũng như chi tiết đơn đặt hàng và tiền hoàn lại. Ngoài ra, các ứng dụng tương tự nhau thường được tích hợp với các ứng dụng và ví khác làm rủi ro có thể tăng cao hơn.
Kẻ tấn công có thể sử dụng thông tin API bị lộ để mua hàng số lượng lớn và sau đó kích hoạt các giao dịch hoàn tiền, bán dữ liệu bị đánh cắp trên chợ đen hoặc sử dụng để khởi động các cuộc tấn công kỹ thuật xã hội như lừa đảo.
Tất cả 10 API bị rò rỉ hiện đã bị vô hiệu hóa. Tuy nhiên, CloudSEK khuyến cáo các nhà phát triển sớm nhận ra nguy cơ tiềm ẩn và thiết lập quy trình để ngăn lỗ hổng leo thang. Vì việc vô hiệu hóa khóa tích hợp thanh toán sẽ khiến ứng dụng ngừng hoạt động, ảnh hưởng đến người dùng và tổn thất tài chính.
Theo hãng CloudSEK: “Nên có một cơ chế để các nhà phát triển ứng dụng có thể giới hạn những gì có thể được thực hiện bằng cách sử dụng một khóa ở cấp độ chi tiết, giống như AWS đã làm. AWS đã đưa ra các chính sách quản lý truy cập và nhận dạng (IAM) có thể được sử dụng để định cấu hình quyền của mọi hoạt động trên nhóm S3. Phương thức này nên được áp dụng rộng rãi hơn để giảm thiểu những gì mà các tác nhân đe dọa có thể làm với các khóa API bị lộ”.
M.H
09:00 | 12/03/2021
12:00 | 27/10/2021
09:00 | 19/02/2019
15:00 | 16/09/2021
09:00 | 19/04/2022
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
08:00 | 19/01/2024
Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.
14:00 | 19/12/2023
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024