Khi quá trình chuyển đổi số tiếp tục tăng tốc, giao diện lập trình ứng dụng (APIs) đã trở thành một phần quan trọng của phát triển phần mềm, đặc biệt khi giới thiệu các tính năng mới và sáng tạo cho các ứng dụng di động mà chúng tôi sử dụng thường xuyên nhất. Tuy nhiên, việc phụ thuộc tăng lên vào các API cũng đã mở ra nhiều vector tấn công hơn cho các hacker xấu xa để khai thác.
Các ứng dụng di động được kết nối với nhiều API khác nhau, mỗi API đều cung cấp một cơ hội tiềm năng cho hacker truy cập vào thông tin nhạy cảm như khóa mã hóa, chứng chỉ số, và thông tin xác thực của người dùng. Tôi mới đây đã thảo luận vấn đề này với Ted Miracco, CEO của Approov, tại Hội nghị RSA 2023. Ông cũng nói về cách hacker có thể sử dụng các cuộc tấn công ‘người đàn ông ở giữa’ trong quá trình chạy của ứng dụng di động để thao túng kênh giao tiếp giữa ứng dụng và API backend.
Để minh họa cho sự nghiêm trọng của vấn đề này, Approov đã tiến hành một nghiên cứu về 650 ứng dụng di động dịch vụ tài chính từ các tổ chức trên khắp châu Âu và Hoa Kỳ. Kết quả thật đáng kinh ngạc: các nhà nghiên cứu phát hiện ra rằng 95 phần trăm các ứng dụng đều dễ bị tấn công, với ‘bí mật có giá trị cao’ có thể truy cập được trong 25 phần trăm trong số đó.
Rõ ràng rằng, an ninh API cần được cải thiện nếu muốn giảm rủi ro tấn công. Cho đến khi các giải pháp thế hệ tiếp theo trở nên phổ biến hơn, điều quan trọng là phải nhận biết được các mối đe dọa tiềm năng do các API đặt ra. Tôi sẽ tiếp tục theo dõi tình hình và báo cáo bất kỳ sự phát triển nào.
Source: Thelastwatchdogs
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.