Von den Millionen Android Apps wurden 21 E-Commerce-Apps mit 22 fest codierten identifiziert Shopify-API Schlüssel/Token, wodurch personenbezogene Daten (PII) potenziellen Bedrohungen ausgesetzt werden.Durch die Hartcodierung des API-Schlüssels wird der Schlüssel für jeden sichtbar, der Zugriff auf den Code hat, einschließlich Angreifern oder nicht autorisierten Benutzern.Wenn ein Angreifer Zugriff auf den fest codierten Schlüssel erhält, kann er damit auf sensible Daten zugreifen oder Aktionen im Namen des Programms ausführen, auch wenn er nicht dazu berechtigt ist, sagten Sicherheitsforscher.„Die jüngste Entdeckung von fest codierten Shopify-Schlüsseln in zahlreichen Android-Apps ist nur ein weiteres Beispiel für den Mangel an angemessener API-Sicherheit in der Branche. Diese Art von Schwachstelle legt die persönlichen Informationen von Benutzern sowie Transaktions- und Bestelldetails potenziellen Angreifern offen. “, sagte Vishal Singh, Senior Security Engineer bei CloudSEK.Shopify ist eine E-Commerce-Plattform, die es Einzelpersonen und Unternehmen ermöglicht, einen Online-Shop zu erstellen, um ihre Produkte zu verkaufen.
Über 4,4 Millionen Websites aus mehr als 175 Ländern weltweit nutzen Shopify.Mit der Leichtigkeit, einen Online-Shop zu erstellen, ermöglicht es auch die Integration von Apps und Plugins von Drittanbietern, um dem Shop zusätzliche Funktionen hinzuzufügen. Shopify kann verwendet werden, um physische und digitale Produkte zu verkaufen, und bietet auch ein Point-of-Sale-System für stationäre Geschäfte.„Obwohl diese Situation keine Einschränkung der Shopify-Plattform darstellt, hebt sie das Problem hervor, dass App-Entwickler API-Schlüssel/Token durchsickern lassen. Als Teil der verantwortungsvollen Offenlegung hat CloudSEK Shopify und die betroffenen Apps über die fest codierten API-Schlüssel informiert“, sagte das Unternehmen.Die Forscher fanden heraus, dass von den insgesamt fest codierten Schlüsseln mindestens 18 Schlüssel das Anzeigen kundensensibler Daten ermöglichen, 7 API-Schlüssel das Anzeigen/Ändern von Geschenkkarten ermöglichen und 6 API-Schlüssel den Abruf von Zahlungskontoinformationen, einschließlich Guthaben und Auszahlungen, ermöglichen.
Während die Gesamtzahl der Downloads dieser Apps 182.000 übersteigt, ist die tatsächliche Anzahl der betroffenen Benutzer deutlich höher (über 40.000).Die API kann es Angreifern auch ermöglichen, detailliertere vertrauliche Informationen zu einer bestimmten Kunden-ID anzuzeigen.„Mithilfe dieses API-Endpunkts könnte ein Akteur mit böswilligen Absichten unbefugten Zugriff auf Banktransaktionsinformationen wie Kredit-/Debitkartendetails erhalten, die von Kunden für Einkäufe verwendet werden“, heißt es in dem Bericht.