Ερευνητές εντόπισαν 1.859 Android και iOS εφαρμογές που περιέχουν hard-coded διαπιστευτήρια των Amazon Web Services (AWS). Πάνω από τα τρία τέταρτα (77%) των εφαρμογών περιείχαν έγκυρα στοιχεία που επιτρέπουν την πρόσβαση σε ιδιωτικές υπηρεσίες cloud.

Είναι ενδιαφέρον ότι λίγο περισσότερο από το 50% των εφαρμογών βρέθηκαν να χρησιμοποιούν τα ίδια διακριτικά που βρέθηκαν σε άλλες εφαρμογές που διατηρούνται από άλλους προγραμματιστές και εταιρείες, υπογραμμίζοντας ένα πρόβλημα της αλυσίδας εφοδιασμού.

Σύμφωνα με τους ερευνητές τα διακριτικά πρόσβασης AWS θα μπορούσαν να εντοπιστούν σε μια κοινόχρηστη βιβλιοθήκη, SDK τρίτου μέρους ή άλλο κοινόχρηστο στοιχείο που χρησιμοποιείται για την ανάπτυξη των εφαρμογών.

Αυτά τα διαπιστευτήρια χρησιμοποιούνται συνήθως για τη λήψη κατάλληλων πόρων που είναι απαραίτητοι για τις λειτουργίες της εφαρμογής, καθώς και για την πρόσβαση σε αρχεία διαμόρφωσης και τον έλεγχο ταυτότητας σε άλλες υπηρεσίες cloud.

Για να γίνουν τα πράγματα χειρότερα, το 47% των εφαρμογών που προσδιορίστηκαν περιείχαν έγκυρα διακριτικά AWS που παρείχαν πλήρη πρόσβαση σε όλα τα ιδιωτικά αρχεία και τους κάδους Amazon Simple Storage Service (S3) στο cloud. Αυτό περιλάμβανε αρχεία υποδομής και αντίγραφα ασφαλείας δεδομένων, μεταξύ άλλων.

Σε μια περίπτωση που αποκαλύφθηκε από τη Symantec, μια ανώνυμη εταιρεία B2B που προσφέρει ένα intranet και μια πλατφόρμα επικοινωνίας που παρείχε επίσης ένα κιτ ανάπτυξης λογισμικού για κινητά (SDK) στους πελάτες της, είχε ενσωματωμένα κλειδιά υποδομής cloud στο SDK για πρόσβαση στην υπηρεσία μετάφρασης.

Αυτό είχε ως αποτέλεσμα την έκθεση όλων των προσωπικών πληροφοριών των πελατών της, οι οποίες περιλάμβαναν εταιρικά δεδομένα και οικονομικά αρχεία που ανήκαν σε περισσότερες από 15.000 επιχειρήσεις μεσαίου έως μεγάλου μεγέθους.

Οι ερευνητές σημείωσαν ότι αντί να περιοριστεί το διακριτικό πρόσβασης με hard-code για χρήση με την υπηρεσία cloud, όποιος είχε το διακριτικό είχε πλήρη απεριόριστη πρόσβαση σε όλες τις υπηρεσίες cloud AWS της εταιρείας B2B.

Επίσης, αποκαλύφθηκαν πέντε τραπεζικές εφαρμογές iOS που βασίζονταν στο ίδιο SDK Digital Identity AI που περιείχε τα διαπιστευτήρια του cloud, πράγμα που σημαίνει ότι διέρρευσαν πληροφορίες δακτυλικών αποτυπωμάτων περισσότερων από 300.000 χρηστών.

Η εταιρεία κυβερνοασφάλειας είπε ότι ειδοποίησε τους οργανισμούς για τα ζητήματα που αποκαλύφθηκαν στις εφαρμογές τους.

Ακολουθήστε το Techmaniacs.gr στο Google News για να διαβάζετε πρώτοι όλα τα τεχνολογικά νέα. Ένας ακόμα τρόπος να μαθαίνετε τα πάντα πρώτοι είναι να προσθέσετε το Techmaniacs.gr στον RSS feeder σας χρησιμοποιώντας τον σύνδεσμο: https://techmaniacs.gr/feed/.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

This site uses Akismet to reduce spam. Learn how your comment data is processed.