По мере того как цифровая трансформация продолжает набирать обороты, интерфейсы программирования приложений (API) становятся критически важной частью разработки программного обеспечения, особенно когда речь идет о внедрении новых и инновационных функций в мобильные приложения, которые мы используем чаще всего. Однако это повышенное уклонение на API также открыло больше векторов атаки для злоумышленников-хакеров для эксплуатации.
Мобильные приложения подключены к различным API, каждый из которых представляет потенциальную возможность для хакеров получить доступ к конфиденциальной информации, такой как ключи шифрования, цифровые сертификаты и учетные данные пользователей. Недавно я обсуждал эту проблему с Тедом Миракко, генеральным директором Approov, на конференции RSA 2023. Он также говорил о том, как хакеры могут использовать атаки “человек посередине” во время работы мобильного приложения для манипуляции с каналом связи между приложением и бэкенд API.
Чтобы продемонстрировать серьезность этой проблемы, Approov провел исследование 650 мобильных приложений финансовых услуг от учреждений по всей Европе и США. Результаты были шокирующими: исследователи обнаружили, что 95 процентов приложений были уязвимы, причем “высокоценные” секреты были доступны в 25 процентов из них.
Ясно, что безопасность API нужно улучшать, если риск атаки должен быть снижен. Пока решения следующего поколения не станут более распространенными, важно осознавать потенциальные угрозы, которые создают API. Я продолжу следить за ситуацией и сообщать о любых развитиях.
Source: Thelastwatchdogs
Чтобы смягчить эти потенциальные угрозы, важно внедрить дополнительные меры кибербезопасности с помощью надежного партнера, такого как INFRA www.infrascan.net, или вы можете попробовать сделать это самостоятельно, используя check.website.