Код нараспашку: популярные приложения раскрывают ключи от AWS и Azure

Добро пожаловать на наш форум!

Спасибо за посещение нашего сообщества. Пожалуйста, зарегистрируйтесь или войдите, чтобы получить доступ ко всем функциям.


Gibby

Автор
Команда проекта

Регистрация
Сообщений
1,665
Репутация
45
Сделок
Ошибки разработки позволяют хакерам легко получить доступ к конфиденциальным данным в облаке.

p.jpg


Специалисты Symantec выявили серьёзную проблему безопасности в ряде популярных мобильных приложений для iOS и Android. В коде приложений были найдены незашифрованные и жёстко запрограммированные учетные данные для доступа к облачным сервисам Amazon Web Services (AWS) и Microsoft Azure Blob Storage, что создает риски несанкционированного доступа к данным пользователей и исходному коду.

Специалисты Symantec отмечают, что проблема возникла из-за ошибок на этапе разработки приложений. Включение данных прямо в код приложения позволяет любому с доступом к бинарному файлу или исходному коду проникнуть во внутреннюю инфраструктуру и похитить пользовательские данные. Злоумышленники могут использовать ключи для несанкционированного доступа к хранилищам, а также к базам данных, где содержатся конфиденциальные сведения.

Например, приложение «Pic Stitch: Collage Maker», загруженное более 5 миллионов раз на Google Play, содержит жестко запрограммированные учетные данные AWS. В коде обнаружена функция, отвечающая за выбор нужных данных в зависимости от среды использования. Злоумышленники могут получить доступ к ключам для работы с хранилищем S3 и манипулировать данными без ограничений.

Аналогичные проблемы были найдены в iOS-приложениях Crumbl, Eureka и Videoshop. В приложении Crumbl, имеющем миллионы оценок на Apple Store, обнаружены статические ключи для доступа к IoT-сервисам AWS через WebSocket Secure (WSS). Такая ошибка в конфигурации создаёт серьёзные риски для данных и инфраструктуры.

Приложение Eureka использует AWS для регистрации событий, а его ключи также сохранены в открытом виде. В приложении Videoshop не зашифрованы ключи, необходимые для взаимодействия с S3, что упрощает несанкционированный доступ.

Проблемы с жестко запрограммированными учётными данными также обнаружены в приложениях, работающих с Azure Blob Storage. Например, приложение Meru Cabs, скачанное более 5 миллионов раз, хранит строку подключения с ключами доступа к облачному хранилищу в коде. Схожие проблемы зафиксированы в Sulekha Business, где ключи используются для управления профилями и выставлением счетов, а также в ReSound Tinnitus Relief, работающем с аудиофайлами.

Наличие указанных приложений на устройстве не означает, что данные пользователя уже скомпрометированы. Однако при отсутствии изменений со стороны разработчиков киберпреступники могут воспользоваться уязвимостями и получить доступ к информации.

Для защиты данных рекомендуется следовать ряду передовых практик:
  • Хранение ключей в переменных среды вместо встраивания в код.
  • Использование менеджеров секретов, таких как AWS Secrets Manager или Azure Key Vault.
  • Шифрование данных и их расшифровка только при выполнении.
  • Периодические аудиты безопасности и код-ревью.
  • Интеграция автоматизированных инструментов безопасности в процесс разработки.

Соблюдение этих рекомендаций поможет минимизировать риски и повысить безопасность приложений. Инциденты, выявленные в этих примерах, подчеркивают важность приоритезации безопасности на всех этапах разработки.
 
Сверху