API-Schlüssel, API-Schlüssel, warum leckst du dauernd?

Ja, wir haben gerade erkannt, dass „weshalb“ „warum“ bedeutet und nicht „wo“. Urteilen Sie nicht. :)

Das rabbit r1-API-Schlüsselleck ist das jüngste in einer Reihe von Leaks, die zeigen, dass die API-Sicherheit noch in den Kinderschuhen steckt. Es ist auch eine der neueren Formen des Diebstahls von Zugangsdaten und des Account Takeover (ATO). Wenn ein API-Schlüssel bei einem Angriff verwendet wird, bietet er Zugang zu Unmengen von Daten, die leicht in großen Mengen konsumiert werden können. Diese Art von Angriff ist ein hochgradig sicherheitsrelevantes Ereignis.

Was ist das rabbit r1?

rabbit r1, auch „r1“ genannt, soll ein virtueller Assistent sein, der nur minimale Eingaben benötigt, um das gewünschte Ergebnis zu erzielen. Dieses Gerät für künstliche Intelligenz (KI) im Taschenformat ist wie ein Smartphone, aber es gibt keine Apps, die Sie öffnen und navigieren können.  Wenn Sie ein Uber bestellen oder Musik abspielen möchten, sagen Sie es einfach dem r1. Das Gerät interagiert im Hintergrund mit Ihren Konten und Diensten, aber Sie werden nichts davon auf Ihrem r1-Gerät sehen. Sobald Sie das rabbit r1-Backend für den Zugriff auf Ihre Konten konfiguriert haben, können Sie einfach mit dem Gerät sprechen, um auf diese Dienste zuzugreifen.

Das Gerät erhält gemischte Kritiken zur Leistung, aber CEO Jesse Lyu behauptet, im Juni 2024 130.000 dieser Geräte verkauft zu haben. Wenn jedes Gerät für den Zugriff auf Uber, Spotify, DoorDash und andere unterstützte Dienste konfiguriert ist, hat jedes Gerät Zugriff auf mehrere Benutzerkonten.

Also, was ist passiert?

Am 16. Mai 2024 entdeckte eine Gruppe von Forschern/Hacktivisten namens „rabbitude“ hartkodierte API-Schlüssel in der Codebasis von rabbit r1. Einfach ausgedrückt erleichtert eine Anwendungsprogrammierschnittstelle oder API die Interaktion zwischen zwei Anwendungen. APIs ermöglichen rabbit R1 die Kommunikation mit den unterstützten Apps, die der Benutzer konfiguriert. API-Schlüssel sind eindeutige Identifikatoren, die zur Authentifizierung des Benutzers oder der Anwendung, die auf die API zugreifen möchte, verwendet werden. Als die Hacktivisten die hart kodierten API-Schlüssel fanden, konnten sie sich Zugang zu diesen Drittanbieter-Plattformen verschaffen:

• ElevenLabs (für Text-to-Speech)
• Azure (für ein altes Spracherkennungssystem)
• Yelp (zum Nachschlagen von Bewertungen)
• Google Maps (für Standortsuche)

Der Zugriff, den die API-Schlüssel gewährten, variierte, aber mindestens einer gab ElevenLabs volle Rechte. Dieser Schlüssel würde es Bedrohungsakteuren ermöglichen, die Historie aller vergangenen Text-to-Speech-Nachrichten abzurufen, benutzerdefinierte Textersetzungen hinzuzufügen und vieles mehr.  Es könnte sogar ausgenutzt werden, um das rabbit-OS-Backend zum Absturz zu bringen und alle r1-Geräte unbrauchbar zu machen.

Was ist das große Problem?

Obwohl alle Geräte, Anwendungen und Unternehmen anfällig für Sicherheitslücken und Angriffe sind, ist die Verwendung fest codierter Schlüssel seit Jahrzehnten eine bekannte schlechte Praxis. Es handelt sich um ein so großes Sicherheitsproblem, dass es als Common Weakness Enumeration (CWE) 321 veröffentlicht wurde. Dies ist kein unbekanntes Sicherheitsproblem. Festcodierte Schlüssel oder Zugangsdaten waren für die Kompromittierung von Routern, Switches und großen Softwareplattformen verantwortlich:

• Twitter-API-Schlüssel sickerten über Tausende von mobilen Apps durch, sodass Angreifer auf verschiedene Kategorien vertraulicher Informationen zugreifen konnten.
• Toyota hat versehentlich Schlüssel im auf GitHub hochgeladenen Quellcode durchsickern lassen, wodurch über 296.000 Kundendatensätze mit E-Mail-Adressen aufgedeckt wurden.
• Die Systeme von Uber enthielten ein fest codiertes Administratorkonto, das einem Angreifer Zugriff auf die Infrastruktur und das Netzwerk des Unternehmens gab. (CWE-798 befasst sich mit fest codierten Anmeldeinformationen)

Die IT-Branche scheint darauf bedacht zu sein, die Fehler der Vergangenheit zu wiederholen.

Sicherheitsstandards für IT-Entwicklung und Sicherheit warnen aus gutem Grund vor dieser Praxis. Wenn ein hartkodierter Schlüssel gefunden wird, kann es schwierig sein, ihn zu entfernen, ohne die API zu zerstören. Noch wichtiger ist, dass der Schlüssel, wenn er in die falschen Hände gerät, wie es bei rabbit r1 der Fall war, für schändliche Zwecke verwendet werden kann.

APIs sind die Autobahnen der IT, mit denen wir große Mengen an Informationen auf Knopfdruck austauschen können. Sie sind eine unabdingbare Voraussetzung für eine ordnungsgemäße Automatisierung, und ohne sie könnten wir als Branche nicht vorankommen. Ihre Sensibilität und die Auswirkungen von Sicherheitsfragen zwingen uns, einen Schritt zurückzutreten und zu analysieren, wie wir sie aufbauen und wie wir mit ihnen umgehen.

Was ist die Lösung?

Für solche Fälle gibt es keine allgemeingültige Lösung, aber einige bewährte Vorgehensweisen:

• Verwenden Sie niemals hartcodierte Anmeldeinformationen in Software.
• Verfügen Sie über eine umfassende Anwendungssicherheitsstrategie, die sowohl während der Erstellung als auch während der Ausführung wirksam ist.
• Überprüfen Sie den Code und die Sicherheitspraktiken in regelmäßigen Abständen.
• Lernen Sie aus der Vergangenheit. Es wurden bereits unzählige Fehler im Sicherheitsbereich gemacht.

Barracuda kann helfen

Barracuda Application Protection ist eine integrierte Plattform, die ein umfassendes Set an interoperablen Funktionen kombiniert, um vollständige Anwendungssicherheit zu gewährleisten, einschließlich Schutz vor den OWASP Top 10 Web- und API-Bedrohungen. Weitere Einzelheiten finden Sie auf unserer Website.