这些流行的移动应用程序正在泄露一些非常有价值的信息

网络安全专家发现了1000多个携带有缺陷API的移动应用程序正在泄露敏感端点(在新标签页中打开)和用户信息。

CloudSEK的研究人员发现了1,550个使用Alogolia的移动应用程序，Alogolia是一种专有API，可帮助移动开发人员将搜索引擎与网站和应用程序中的发现和推荐功能相集成。

据该公司称，该API被全球11,000多家公司使用。

Aligolia带有五个API密钥-Admin、Search、Monitoring、Usage和Analytics，据研究人员称，Search是唯一可以在前端公开使用的密钥，因为它可以帮助用户在应用程序中运行搜索。Monitoring允许访问集群状态，Usage和Analytics是不言自明的，而Admin密钥允许访问其他四个密钥，以及许多其他功能。

CloudSEK的一位分析师告诉BleepingComputer：“虽然管理API密钥使威胁行为者能够执行多项关键操作并提供对敏感数据的访问权限，但即使使用一个或多个其他API密钥，威胁行为者也可以搜索或查看敏感数据。”

“此外，根据未来版本应用程序的代码更改，威胁行为者可能仅使用这些密钥就可以访问更敏感的数据。”

在1,550个有问题的应用程序中，有32个泄露了管理机密，包括57个唯一的管理密钥。有了这些，威胁行为者不仅可以访问敏感的用户信息(在新标签页中打开)，还可以玩应用索引记录和设置。

泄露Admin密钥的应用程序总共被下载了大约3,250,000次。据说有些应用程序的下载量超过一百万。这些应用程序属于各种类别，从新闻应用程序、食品和饮料应用程序到教育、健身、商业应用程序等等。

CloudSEK没有提供受影响的应用程序列表，但确实表示已联系其开发人员，但没有收到回复。