Google Maps API Key – biasanya digunakan pada aplikasi untuk memenuhi kebutuhan seperti petunjuk lokasi outlet, kantor, dan sebagainya.
pada hal ini pihak developer aplikasi akan menggunakan layanan yang berbayar untuk mendapatkan layanan yang luas dan efektif dalam pengembangan aplikasinya.
Baca Juga: BugBounty – No Filtering On Application Mobile Fore
Google Maps API Key ini sering kali dicari oleh bug hunter karena mudah ditemukan dan exploitasi dan kebanyakan pihak developer sering kali melupakan best practice yang sudah diterapkan oleh pihak google.
EXPLOITASI
Untuk melakukan exploitasi pada google maps api key tersebut cukup terbilang mudah dan berikut adalah cara untuk mnegecek apakah API Key tersebut vulnerability atau tidak.
Kalian bisa menggunakan tools checker dibawah ini:
- https://googlekey.blindf.com/ ( WEB )
- https://github.com/ozguralp/gmapsapiscanner ( CLI )
Jika terdepat vulnerability maka hasilnya seperti berikut:
DAMPAK SERANGAN
Dampak serangan yang ditimbulkan pada temuan API Key ini adalah terjadinya penumpukan biaya cost yang ditangguhkan google sehingga berdampak pada anggaran perusahaan.
Selain itu juga google Api Key tersebut dapat digunakan oleh attacker untuk kepentingannya sendiri.
CARA MENGATASI SERANGAN
Kami akan memberikan beberapa tips untuk mengatasi ancaman serangan google maps api key yang bisa diimplementasikan pada aplikasi yang sedang dikembangkan yaitu dengan cara berikut:
- Melakukan restrict API key pada console google
- Hidden API Key sehingga tidak dapat ditemukan oleh user/penyerang
REFERENSI
