CloudSEK: アプリの50%が3つのメールマーケティングサービスのAPIキーを使用していることが判明

AIサイバーセキュリティ企業CloudSEKは最近、Google Playで人気のAndroidアプリ600個を調査し、アプリの約50%が最も人気のある3つのメールマーケティングサービスアプリのAPIキーを使用していることを発見しました。

API の正式名称はアプリケーション プログラミング インターフェイスであり、これによりアプリケーションやサービスがバックグラウンドでサードパーティの Web サイトとシームレスに連携できるようになります。

API は、オンライン企業やサービスが顧客の連絡先情報を収集し、アウトバウンド マーケティング キャンペーンを管理するために使用するアプリケーションの一種です。つまり、API キーを介して送信される脆弱なデータが大量に存在することになります。

CloudSEK は、独自の BeVigil セキュリティ エンジンを使用して 600 個の Google Play アプリを調査し、アプリの約半数が Mailchimp、Sendgrid、Mailgun の API キーを使用していることを発見しました。しかし、これら 3 社の API キーには抜け穴があり、機密データが悪意のある第三者に渡され、ユーザーのセキュリティに影響を与え、サイバー詐欺の標的になる可能性があります。

影響を受けるアプリは 5,400 万回以上ダウンロードされており、それぞれのアプリで API キーを介してあらゆる詳細が公開される可能性があります。 CloudSek によれば、この脆弱性により、悪意のある人物が電子メールを読んだり、顧客データを盗んだり、電子メール リストにアクセスしたり、さらには影響を受けた企業に代わって電子メール マーケティング キャンペーンを実施したりすることが可能になる可能性があるとのことです。この最後の点は、このようにして危険にさらされたユーザーは、検出が極めて困難な高度なフィッシング キャンペーンに対して特に脆弱になることを意味します。

ITホームより