No siempre es lógico
Otro día, otra brecha de API en las noticias. La última brecha ocurrió en la plataforma Life360, donde un atacante pudo obtener 400 mil números de teléfono de usuarios, según el artículo publicado en Bleepingcomputer.com.
Conocido solo por su alias 'emo', dijo que el endpoint de API no seguro utilizado para robar los datos proporcionaba una forma fácil de verificar la dirección de correo electrónico, el nombre y el número de teléfono de cada usuario afectado.
"Al intentar iniciar sesión en una cuenta de Life360 en Android, el endpoint de inicio de sesión devolvía el nombre y el número de teléfono del usuario; esto existía solo en la respuesta de la API y no era visible para el usuario", dijo emo.
"Si un usuario había verificado su número de teléfono, en su lugar se devolvería como un número parcial como +1******4830."
En otras palabras, el atacante pudo aprovechar que la API proporcionaba demasiada información. Estoy seguro de que el equipo de desarrollo de Android nunca pensó que alguien usaría un emulador o un proxy para ver el tráfico real que devolvía la API. En cambio, supusieron que al no mostrar esta información en la aplicación, aunque estuviera en la API, estarían seguros. La seguridad por ofuscación no es una buena seguridad. Esto se clasificaría como un ataque #3 del Top 10 de API de OWASP: "Exposición excesiva de datos".
Brechas como esta ocurren con más frecuencia de lo que nos gustaría admitir. A menudo, las aplicaciones móviles aprovechan las limitaciones de su entorno para ocultar datos en lugar de evitar que esos datos se liberen en primer lugar. En un caso muy similar, una aplicación llamada 3Fun (más información sobre 3Fun) expuso la ubicación y las fotos privadas de sus usuarios a través de su API, aunque la aplicación móvil no mostraba esta información.
Detección de Salt
En esta situación específica, le pregunté a nuestro vicepresidente de investigación de seguridad, Yaniv Balmas, qué habría podido detectar Salt.
Yaniv afirmó que Salt podría detectar una de varias oportunidades, pero las más relevantes probablemente habrían sido la enumeración de parámetros (específicamente la enumeración que también devuelve datos sensibles). También afirmó que, dado que Salt vería esto como una actividad única para este atacante que se desvía del comportamiento normal del usuario, habría activado una alerta BOLA de ID único.
La capacidad de Salt para detectar y correlacionar este tipo de actividad no es algo fácil de hacer. Es como intentar encontrar una aguja en un montón de agujas dentro de un pajar en un granero lleno de heno. Nuestra arquitectura única y nuestros módulos de detección patentados son la razón por la que ayudamos a algunas de las empresas más grandes a proteger sus API.
Si desea obtener más información sobre Salt y cómo podemos proporcionarle descubrimiento, gobernanza y protección de API, por favor contáctenos, programe una demostración, o consulte nuestro sitio web.
