Исследователям безопасности от Стой решительного, чтобы присмотреться к приложениям для Android нескольких интернет-магазинов, и неудивительно, удалось обнаружить несколько слабых мест.

Согласно их исследованию, Целевое приложение для Android идет с API (Интерфейс Приложения), который правильно не защитили разработчики.

API работает, получая вопросы (через запросы HTTP) с телефона пользователя и затем посылая ответ как файл JSON. Этот файл прочитан приложением, желаемая информация, извлеченная, и затем показал на экране.

Незащищенный Целевой API показывает списки пожеланий клиентов

Многие другие услуги как Твиттер, Facebook или Google используют API. Различие между ними и Целью - то, что Цель забыла защищать API, подтвердив подлинность пользователей, которые могут подвергнуть сомнению для получения информации.

Так как Целевое приложение обращается с большой частной информацией, это - серьезное нарушение правил безопасности, которое Стой исследователи эксплуатировали, чтобы получить доступ к информации приблизительно 5 000 Целевых пользователей.

По словам исследователей, только выясняя, как Целевой назначает ID каждому пользователю, нападавший мог вслепую подвергнуть сомнению API для данных по случайным ID и построить себя база данных Целевых пользователей.

Целевой API извергает информацию о пользователях, таких как их настоящие имена, адреса электронной почты, адреса доставки, номера телефона и их списки пожеланий.

Нападавшие могут получить API для персональных данных

Нападавший мог легко очистить Целевой API и получить информацию о целевой пользовательской en-массе, и затем использовать его в кампаниях спама. Подобная проблема была также обнаружена в GraphQL Facebook прошлым летом, когда британскому разработчику удалось вслепую получить информацию о тысячах пользователей Facebook, проверив случайные номера телефона.

«Так как новость появилась, Цель приостановила элементы приложения, в то время как разработчики занимаются расследованиями», Стой докладчик сказал Софтпедии.

Вне Целевого приложения Стой исследователи также проверили заявки от других ритейлеров как Home Depot, J.C. Penney, Macy's, Safeway, Walgreens и Wal-Mart. Стой говорит, что это нашло проблемы в других приложениях, которые это планирует раскрыть в другое время.

Как примечание стороны, Стой сказал, что во время их расследования, безусловно, приложение для Android Walgreens просило самое большое количество ненужных разрешений всех проверенных приложений с занимающим второе место приложением Home Depot.

Непослушные Целевые Разливы Приложения Ваш Рождественский Список пожеланий через Незащищенный API Данные протекли с помощью Целевого приложения API