تهدد برمجة التطبيقات المكشوفة نزاهة البرامج

تم رصد الآلاف من رموز واجهة برمجة التطبيقات النشطة المكشوفة علناً (API) عبر الويب والتي يمكن أن تهدد سلامة البرامج وتسمح للجهات الفاعلة السيئة بالوصول إلى المعلومات السرية أو البيانات أو الشبكات الخاصة.

جاءت النتائج من باحثين أمنيين في JFrog، الذين توصلوا إلى الاكتشاف أثناء اختبار ميزة جديدة في أحد الحلول الأمنية للشركة.

وبحسب ما ورد قام الفريق بمسح أكثر من ثمانية ملايين قطعة أثرية في سجلات البرامج مفتوحة المصدر الأكثر شيوعاً

بما في ذلك npm و PyPI و RubyGems و crates و DockerHub، للعثور على رموز API المسربة والتحقق منها.

في حالة حزم npm و PyPI، تضمن الفحص أيضاً إصدارات متعددة من نفس الحزمة لمحاولة العثور على الرموز التي كانت متاحة بمجرد إزالتها لاحقاً.

أظهرت نتائج الفحص أن رموز Amazon Web Services (AWS) و Google Cloud Platform (GCP) و Telegram API كانت أكثر الرموز تسريباً.

في الوقت نفسه، أظهرت الأرقام أن مطوري أمازون ألغوا 53٪ من جميع الرموز غير النشطة، بينما ألغى GCP 27٪ فقط.

وكتب JFrog في تقرير تمت مشاركته مع Infosecurity:

«على الرغم من أن الهدف الأولي من بحثهم كان العثور على خصائص خاطئة وإصلاحها، فقد كشف فريق البحث عن أسرار أكثر مما كان متوقعاً، مما دفع إلى التحليل التفصيلي».

«لإكمال التحليل، كشف الفريق بشكل خاص عن جميع الأسرار المسربة لأصحاب الرموز (أولئك الذين يمكن التعرف عليهم)، مما يوفر لهم فرصة لاستبدال الأسرار أو إلغائها حسب الحاجة».

فيما يتعلق بالأسرار التي تم الكشف عنها، ذكرت JFrog أن القائمة تضمنت مفاتيح واجهة برمجة التطبيقات، وأوراق الاعتماد، والشهادات وكلمات المرور المنتهية الصلاحية.

يمكن العثور على مزيد من المعلومات حول رموز API التي كشفت عنها JFrog على موقع الشركة على الويب.

تأتي الكتابة الفنية بعد أشهر من اكتشاف CloudSEK أن أكثر من 3200 تطبيق للهاتف المحمول تسرب مفاتيح واجهة برمجة التطبيقات على Twitter.