Mobile app προγραμματιστές εκθέτουν το Amazon Web Services καθώς βρέθηκαν πάνω από 1000 iOS apps που περιείχαν hard-coded credentials.
Οι ερευνητές ασφαλείας κρούουν τον κώδωνα του κινδύνου για τους προγραμματιστές εφαρμογών για κινητά που βασίζονται σε ανασφαλείς πρακτικές που εκθέτουν τα credentials των Amazon Web Services (AWS), καθιστώντας την αλυσίδα εφοδιασμού ευάλωτη.
Οι κακόβουλοι παράγοντες θα μπορούσαν να εκμεταλλευτούν αυτό για να αποκτήσουν πρόσβαση σε ιδιωτικές βάσεις δεδομένων, οδηγώντας σε παραβιάσεις δεδομένων και έκθεση προσωπικών δεδομένων των πελατών.
Ερευνητές της ομάδας Threat Hunting της Symantec, μέρος της Broadcom Software, βρήκαν 1.859 εφαρμογές που περιείχαν hard-coded credentials AWS, τα περισσότερα από τα οποία ήταν για εφαρμογές iOS και μόλις 37 για Android.
Περίπου το 77% αυτών των εφαρμογών περιείχαν έγκυρα access tokens AWS που θα μπορούσαν να χρησιμοποιηθούν για άμεση πρόσβαση σε ιδιωτικές υπηρεσίες cloud.
Δείτε επίσης: TikTok Android: Ευπάθεια επέτρεπε την παραβίαση λογαριασμών
Επιπλέον, 874 εφαρμογές περιείχαν έγκυρα AWS tokens που μπορούν να χρησιμοποιήσουν οι χάκερ για την πρόσβαση σε cloud instances που περιέχουν live-service databases που κατέχουν εκατομμύρια εγγραφές.
Αυτά τα databases συνήθως περιέχουν στοιχεία λογαριασμού χρήστη, logs, εσωτερική επικοινωνία, πληροφορίες εγγραφής και άλλα ευαίσθητα δεδομένα, ανάλογα με τον τύπο της εφαρμογής.
Οι αναλυτές απειλών επισημαίνουν τρεις αξιοσημείωτες περιπτώσεις στην έκθεσή τους όπου τα εκτεθειμένα Amazon Web Services tokens θα μπορούσαν να είχαν καταστροφικές συνέπειες τόσο για τους δημιουργούς όσο και για τους χρήστες των ευάλωτων εφαρμογών.
Ένα παράδειγμα είναι μια εταιρεία Business-to-business (B2B) που παρέχει υπηρεσίες intranet και επικοινωνίας σε περισσότερες από 15.000 μεσαίες έως μεγάλες εταιρείες.
Το software development kit (SDK) που παρείχε η εταιρεία σε πελάτες για πρόσβαση στις υπηρεσίες της περιέχει κλειδιά AWS, εκθέτοντας όλα τα ιδιωτικά δεδομένα πελατών που είναι αποθηκευμένα στην πλατφόρμα.
Μια άλλη περίπτωση είναι ένα third-party digital identity και authentication SDK που χρησιμοποιείται από διάφορα τραπεζικά iOS apps που περιλάμβαναν έγκυρα cloud credentials.
Εξαιτίας αυτού, όλα τα δεδομένα authentication από όλους τους πελάτες αυτών των τραπεζών, συμπεριλαμβανομένων των ονομάτων, των ημερομηνιών γέννησης, ακόμη και των βιομετρικών ψηφιακών σαρώσεων δακτυλικών αποτυπωμάτων, εκτέθηκαν στο cloud.
Δείτε επίσης: Apple: Διορθώνει zero-day bug που επηρεάζει παλιότερα iPhone
Τέλος, η Symantec βρήκε μια πλατφόρμα τεχνολογίας αθλητικών στοιχημάτων που χρησιμοποιείται από 16 διαδικτυακές εφαρμογές τζόγου, η οποία εξέθεσε ολόκληρη την υποδομή της και τις υπηρεσίες cloud με δικαιώματα ανάγνωσης/εγγραφής σε επίπεδο admin.
Το πρόβλημα με τα hard-coded και «ξεχασμένα» cloud service credentials είναι βασικά ένα πρόβλημα εφοδιαστικών αλυσίδων, καθώς η αμέλεια ενός προγραμματιστή SDK μπορεί να επηρεάσει μια ολόκληρη συλλογή εφαρμογών και υπηρεσιών που βασίζονται σε αυτό.
Η ανάπτυξη εφαρμογών για κινητά βασίζεται σε έτοιμα στοιχεία αντί να δημιουργούνται τα πάντα από την αρχή, επομένως εάν οι εκδότες εφαρμογών δεν πραγματοποιήσουν διεξοδικό έλεγχο στα SDK ή τις βιβλιοθήκες που χρησιμοποιούν, είναι πιθανό να διαδοθεί κίνδυνος ασφάλειας στο έργο τους όπως εκτέθηκε και το Amazon Web Services
Όσον αφορά τους προγραμματιστές που κάνουν hard-coding στα credentials στα προϊόντα τους, αυτό είναι θέμα διευκόλυνσης κατά τη διάρκεια της διαδικασίας ανάπτυξης και δοκιμής ενώ παραλείπεται και η σωστή αναθεώρηση κώδικα για ζητήματα ασφάλειας.
Αναφερόμενη στους λόγους για τους οποίους συμβαίνει αυτό, η Symantec επισημαίνει τις ακόλουθες πιθανότητες:
- Λήψη ή μεταφόρτωση των assets και των πόρων που απαιτούνται για την εφαρμογή, συνήθως μεγάλων αρχείων πολυμέσων, εγγραφών ή εικόνων
- Πρόσβαση σε αρχεία configuration για την εφαρμογή ή/και εγγραφή της συσκευής και συλλογή πληροφοριών συσκευής και αποθήκευση στο cloud
- Πρόσβαση σε υπηρεσίες cloud που απαιτούν authentication, όπως υπηρεσίες μετάφρασης
- Δεν υπάρχει συγκεκριμένος λόγος, νεκρός κώδικας ή/και κώδικας που χρησιμοποιήθηκε για δοκιμή και δεν αφαιρέθηκε ποτέ
Η αποτυχία κατάργησης αυτών των credentials όταν το λογισμικό είναι έτοιμο να απελευθερωθεί προς τους πελάτες είναι θέμα απροσεξίας και αποτέλεσμα της απουσίας της checklist based release διαδικασίας που περιλαμβάνει επίσης την ασφάλεια.
Πηγή: bleepingcomputer.com