API

Уязвимостите в сигурността на API, които захранват съвременните цифрови услуги и приложения, се превърнаха в сериозна заплаха за системите и данните на бизнеса. 

Доклад на Wallarm показва 21% увеличение на свързаните с API пропуски в сигурността между Q2 и края на Q3 на 2024 г. Почти 1/3 от тях (32%) са свързани с облачна инфраструктура и нейтив приложения и услуги в облака. Не е за подценяване и факта, че голяма част от тях са с оценки за сериозност от 7,5 или повече. Това показва нарастващ риск за организациите при използването на API. 

Ето и четирите основни фактора, допринасящи за рисковете за сигурността на API, и какво трябва да правят организациите, за да ги ограничат. 

Неправилно конфигурирани API 

Много проблеми със сигурността на API през последните години произтичат от сравнително лесни за поправка неправилни конфигурации. Част от тях са неадекватната автентикация и оторизация, липсата на валидиране на входните данни, липсата на мониторинг и разкриването на чувствителни данни чрез съобщения за грешки. Те могат да имат тежки последици. 

Организациите трябва да смекчат тези проблеми, като прилагат най-добрите практики за сигурност. Такива са строги проверки за оторизация, контрол на достъпа въз основа на роли, многофакторна автентикация. Филтрирането на входящите данни от страна на сървъра и преглед на отговорите на API също са в списъка с добри практики. 

Лошо проектирани API 

Лошо проектираните API са друг основен фактор за инциденти със сигурността. Това са API, които правят всичко както трябва, но по начин, улесняващ потенциалните нападатели. Пример за това са тези, които връщат повече информация, отколкото е необходима на приложението. 

Други примери включват API, които използват невалидирани SQL входове, твърде сложни и раздути са или имат непоследователна структура. 

Недобре проектираният API понякога може да игнорира и несъответствията в бизнес логиката. А според доклада на Imperva State of API Security 2024  злоупотребата с бизнес логика е най-значимата атака срещу API през миналата година.  

Тези проблеми могат да бъдат преодолени чрез  специализирана защита срещу поведенчески заплахи. Тя може не само да дешифрира необичайна употреба, но и да разпознае злонамерено намерение на потребител на API. 

Липса на видимост 

API се очертаха като водещ вектор за атака заради почти повсеместното си използване. Проучване на Imperva показва, че организациите имат средно 613 API крайни точки на акаунт. Доставчикът на сигурност установява, че API трафикът през 2023 г. представлява 71% от целия уеб трафик. Въпреки всичко това обаче много организации нямат достатъчно видимост за тях. 

Първата стъпка за всяка компания в това отношение е спешно да открие и инвентаризира всички тези публични API. След това, разбира се, да предприеме незабавни мерки за тяхното подсигуряване. 

Неадекватно тестване за сигурност 

Много организации не успяват да приоритизират адекватно сигурността на API и често подценяват уникалните рискове, които те представляват. Според 2024 State of the API Report на Postman едва 37% от бизнесите извършват автоматизирано сканиране и редовни penetration тестове за откриване на уязвимостите по-рано в жизнения цикъл на разработка.  

Сравнително малко имат интегрирани тестове за сигурност и проверки в своя процес на разработка на API или централизирани възможности за наблюдение. 

А логиката е, че ако строите къща, първо трябва да сте сигурни в конструкцията ѝ и чак тогава да пуснете хора да живеят в нея. 

Уязвимост във функцията People Nearby на Телеграм за Android може да улесни хакерите да намерят точното ви местоположение.

Когато я включите (това не е така по подразбиране) функцията ви показва всички  останали потребители на Telegram в същия географски регион, които са активирали People Nearby, и вие можете са се свържете с тях. Това ви помага да се срещате с нови хора и да създавате групи от съмишленици.

Измамниците обаче могат да подправят (spoofing)  местоположението (API за геолокация), което тяхното Android устройство отчита на сървърите на Telegram. След като заложат локация, която ги интересува и активират People Nearby, те могат, по три различни местоположения, да определят точния адрес на всеки един от потребителите в същия географски регион. И да го използват за провеждане на последващи атаки и измами…

Две smart системи за автомобили излагат на риск от кражба над 3 млн. автомобила по цял свят, показва проучване на Pen Test Partners.

Уязвимост в системата за сигурност на автомобилите позволява локализирането им, изключването на алармите и отключването на колите. В някои случаи е възможно дори да се подслушват разговори посредством микрофон, вграден в алармената система. И още: пълен контрол върху двигателя (стартирането му или спирането му, дори и автомобилът да е в движение при последното).

Пробойните засягат алармени системи, които позволяват контрол върху сигурността на smart автомобили чрез приложения за смартфони, изработени от две компании – руската Pandora и американската Viper.

Уязвимостите и на двете приложения се дължат на проблем с функциониране на програмно-приложените им интерфейси (API) и по-специално на функциите за смяна на парола и имейл. Благодарение на тази уязвимости, може лесно да бъде превзет акаунт на потребител.

„Лека заигравка“ с параметрите на API-то позволява ъпдейт на имейл адреса, с който е регистриран даден акаунт, без за това да се изисква автентикация пред приложението. След тази промяна, атакуващият може лесно да смени паролата на потребителя чрез функцията Забравена парола и да превземе акаунта на жертвата си, пишат от Pen Test Partners.

И двете компании са признали за уязвимостите и са ги запушили в рамките на няколко дни след анализа.