Cảnh báo: Hàng trăm ứng dụng Android đang để lộ khóa API gây lo ngại

12/07/2025

Nội dung bài viết

Mới đây, hàng trăm ứng dụng Android trên Google Play bị phát hiện rò rỉ khóa API, đẩy người dùng vào nguy cơ bị đánh cắp danh tính và đối mặt với nhiều mối đe dọa an ninh mạng nghiêm trọng.

Các chuyên gia bảo mật tại CloudSEK đã sử dụng công cụ BeVigil để phân tích 600 ứng dụng trên Google Play, qua đó phát hiện những lỗ hổng nguy hiểm và nhanh chóng cảnh báo tới các nhà phát triển Android.

Nhiều ứng dụng Android bị phát hiện rò rỉ khóa API, gây lo ngại về an ninh

Khoảng 50% số ứng dụng bị rò rỉ khóa API của ba dịch vụ email hàng đầu là MailChimp, SendGrid và Mailgun, tạo điều kiện cho kẻ gian gửi email trái phép, vô hiệu hóa khóa API hoặc can thiệp vào xác thực đa yếu tố (MFA).

Hơn 54 triệu người dùng toàn cầu đối mặt nguy cơ khi tải về các ứng dụng Android bị rò rỉ khóa API, trong đó phần lớn nạn nhân đến từ Mỹ, cùng với các quốc gia như Anh, Tây Ban Nha, Nga và Ấn Độ.

Theo CloudSEK, bảo mật khóa API đóng vai trò then chốt trong kiến trúc phần mềm. Các nhà phát triển cần tuyệt đối tránh nhúng khóa API trực tiếp vào ứng dụng, đồng thời tuân thủ nghiêm ngặt các phương pháp mã hóa an toàn, chuẩn hóa quy trình đánh giá và thường xuyên thay đổi, ẩn khóa để giảm thiểu rủi ro.

Nếu bạn vẫn còn mơ hồ về khái niệm API, hãy cùng Taimienphi.vn khám phá những kiến thức cơ bản và tầm quan trọng của API qua bài viết dưới đây

Trong số ba dịch vụ, MailChimp được xem là nền tảng lớn nhất. Việc rò rỉ khóa API của MailChimp có thể bị tin tặc lợi dụng để truy cập trái phép email, chiếm đoạt dữ liệu khách hàng, lấy danh sách email, thao túng quảng cáo và sửa đổi mã khuyến mại gian lận.

Không dừng lại ở đó, kẻ tấn công còn có thể tự cấp quyền cho các ứng dụng bên thứ ba kết nối với tài khoản MailChimp. Các nhà nghiên cứu đã phát hiện 319 khóa API, trong đó có tới 28% vẫn còn hiệu lực và 12 khóa bị lạm dụng để truy cập, đọc trộm nội dung email.

Việc lộ khóa API của MailGun cũng mở đường cho các tin tặc gửi và đọc email trái phép, chiếm đoạt chứng nhận SMTP, địa chỉ IP và nhiều số liệu thống kê nhạy cảm khác, thậm chí đánh cắp danh sách email khách hàng một cách dễ dàng.

Về phần mình, SendGrid - nền tảng gửi email tiếp thị dựa trên điện toán đám mây - cũng trở thành mục tiêu khi khóa API bị rò rỉ. Tin tặc có thể dễ dàng gửi email giả mạo, tạo khóa mới và điều khiển địa chỉ IP truy cập vào tài khoản.

Giữa thời đại số hóa không ngừng phát triển, người dùng cần luôn đề cao cảnh giác trước những nguy cơ tấn công mạng tiềm ẩn. Tripi.vn cam kết sẽ liên tục cập nhật những thông tin mới nhất về sự việc để kịp thời gửi tới bạn đọc.

https://Tripi.vn/canh-bao-hang-tram-ung-dung-android-bi-ro-ri-khoa-api-31742n.aspx

Du lịch

Ẩm thực

Khám phá

Đi Phượt

Vẻ đẹp Việt Nam

Chuyến đi