Nem sempre é Lógico
Mais um dia, mais uma violação de API nas notícias. A mais recente violação ocorreu na plataforma Life360, onde um atacante conseguiu obter 400 mil números de telefone de usuários, de acordo com o artigo publicado em Bleepingcomputer.com.
Conhecido apenas pelo seu pseudónimo 'emo', ele disse que o endpoint de API desprotegido usado para roubar os dados forneceu uma maneira fácil de verificar o endereço de e-mail, nome e número de telefone de cada usuário afetado.
"Ao tentar fazer login em uma conta Life360 no Android, o endpoint de login retornaria o primeiro nome e o número de telefone do usuário; isso existia apenas na resposta da API e não era visível para o usuário", disse emo.
"Se um usuário tivesse verificado seu número de telefone, ele seria retornado como um número parcial, como +1******4830."
Em outras palavras, o atacante conseguiu aproveitar o fato de a API fornecer informações demais. Tenho certeza de que a equipe de desenvolvimento do Android nunca pensou que alguém usaria um emulador ou proxy para analisar o tráfego real retornado pela API. Em vez disso, eles imaginaram que, ao não exibir essas informações no aplicativo, embora estivessem na API, estariam seguros. Segurança por ofuscação não é boa segurança. Isso seria classificado como um ataque OWASP API Top 10, #3, "Exposição Excessiva de Dados".
Violações como esta acontecem com mais frequência do que gostaríamos de admitir. Frequentemente, aplicativos móveis aproveitam as limitações de seu ambiente para ocultar dados, em vez de impedir que esses dados sejam liberados em primeiro lugar. Em um caso muito semelhante, um aplicativo chamado 3Fun (mais informações sobre o 3Fun) expôs a localização e fotos privadas de seus usuários através de sua API, embora o aplicativo móvel não mostrasse essas informações.
Detecção Salt
Nesta situação específica, perguntei ao nosso VP de pesquisa de segurança, Yaniv Balmas, o que a Salt teria sido capaz de detectar.
Yaniv afirmou que a Salt poderia detectar uma de várias oportunidades, mas as mais relevantes provavelmente teriam sido a enumeração de parâmetros (especificamente a enumeração que também retorna dados sensíveis). Ele também afirmou que, como isso seria visto pela Salt como uma atividade única para este atacante que se desvia do comportamento normal do usuário, teria acionado um alerta BOLA de ID Único.
A capacidade da Salt de detectar e correlacionar este tipo de atividade não é algo fácil de fazer. É como tentar encontrar uma agulha num monte de agulhas, num palheiro, dentro de um celeiro cheio de feno. Nossa arquitetura única e módulos de detecção patenteados são a razão pela qual ajudamos algumas das maiores empresas a proteger suas APIs.
Se você gostaria de saber mais sobre a Salt e como podemos fornecer-lhe descoberta, governança e proteção de API, por favor entre em contato conosco, agende uma demonstração, ou confira nosso site.
