CloudSEK: 50 % der Apps verwenden API-Schlüssel von drei E-Mail-Marketing-Diensten

Das KI-Cybersicherheitsunternehmen CloudSEK untersuchte kürzlich 600 beliebte Android-Apps im Google Play Store und stellte fest, dass etwa 50 % der Apps API-Schlüssel der drei beliebtesten Apps für E-Mail-Marketingdienste verwendeten.

Der vollständige Name von API lautet „Application Programming Interface“ (Anwendungsprogrammierschnittstelle). Sie ermöglicht es Anwendungen und Diensten, im Hintergrund nahtlos mit Websites von Drittanbietern zusammenzuarbeiten.

APIs sind Anwendungen, die von Online-Unternehmen und -Diensten zum Sammeln von Kundenkontaktinformationen und Verwalten von Outbound-Marketingkampagnen verwendet werden. Das bedeutet, dass über API-Schlüssel viele anfällige Daten übertragen werden.

CloudSEK untersuchte 600 Google Play-Apps mithilfe seiner eigenen BeVigil-Sicherheits-Engine und stellte fest, dass etwa die Hälfte der Apps API-Schlüssel von Mailchimp, Sendgrid und Mailgun verwendete. Allerdings weisen die API-Schlüssel dieser drei Unternehmen Lücken auf, durch die vertrauliche Daten an böswillige Dritte weitergegeben werden können, wodurch die Sicherheit des Benutzers beeinträchtigt wird und dieser zum Ziel von Cyberbetrügern wird.

Die betroffenen Apps wurden über 54 Millionen Mal heruntergeladen und jede von ihnen gibt nun möglicherweise sämtliche Details über API-Schlüssel preis. Laut CloudSek hätte die Sicherheitslücke es böswilligen Akteuren ermöglichen können, E-Mails zu lesen, Kundendaten zu stehlen, auf E-Mail-Listen zuzugreifen und sogar E-Mail-Marketingkampagnen im Namen der betroffenen Unternehmen durchzuführen. Letzteres bedeutet, dass auf diese Weise gefährdete Benutzer besonders anfällig für ausgeklügelte Phishing-Kampagnen sind, die äußerst schwer zu erkennen sind.

Von IT Home