安全研究人员对移动应用程序开发人员依赖暴露亚马逊网络服务 (AWS) 凭证的不安全做法发出警告,使供应链易受攻击。
恶意行为者可以利用这一点访问私人数据库,从而导致数据泄露和客户个人数据的暴露。
问题的规模
赛门铁克 Threat Hunting 团队(隶属于 Broadcom Software)的研究人员发现了 1,859 个包含硬编码 AWS 凭证的应用程序,其中大多数是 iOS 应用程序,只有 37 个是 Android 应用程序。
这些应用程序中大约 77% 包含有效的 AWS 访问令牌,可用于直接访问私有云服务。
此外,874 个应用程序包含有效的 AWS 令牌,黑客可以使用这些令牌访问包含拥有数百万条记录的实时服务数据库的云实例。
这些数据库通常包含用户帐户详细信息、日志、内部通信、注册信息和其他敏感数据,具体取决于应用程序的类型。
真实例子
威胁分析师在他们的报告中强调了三个值得注意的案例,其中暴露的 AWS 令牌可能对易受攻击的应用程序的作者和用户造成灾难性后果。
例如,一家企业对企业 (B2B) 公司为超过 15,000 家大中型公司提供内部网和通信服务。
该公司向客户提供的用于访问其服务的软件开发工具包 (SDK) 包含 AWS 密钥,从而暴露了存储在平台上的所有私人客户数据。
另一个案例是 iOS 上的多个银行应用程序使用的第三方数字身份和身份验证 SDK,其中包括有效的云凭证。
因此,来自这些银行所有客户的所有身份验证数据,包括姓名、出生日期,甚至生物识别数字指纹扫描,都暴露在云中。
最后,赛门铁克发现了一个被 16 个在线赌博应用程序使用的体育博彩技术平台,该平台暴露了其整个基础架构和云服务,具有管理员级别的读/写权限。
为什么会这样?
硬编码和“被遗忘”的云服务凭证问题基本上是供应链问题,因为 SDK 开发人员的疏忽可能会影响依赖它的整个应用程序和服务集合。
移动应用程序开发依赖于现成的组件,而不是从头开始创建所有内容,因此如果应用程序发布者不对他们使用的 SDK 或库进行彻底检查,安全风险很可能会传播到他们的项目中。
至于开发人员在他们的产品中硬编码凭证,这是在开发和测试过程中的方便问题,并且会跳过适当的代码审查以解决安全问题。
谈到发生这种情况的原因,赛门铁克强调了以下可能性:
下载或上传应用程序所需的资产和资源,通常是大型媒体文件、录音或图像
访问应用程序的配置文件和/或注册设备并收集设备信息并将其存储在云中
访问需要身份验证的云服务,例如翻译服务
没有特定原因、死代码和/或用于测试且从未删除
当软件准备好由客户部署时未能删除这些凭据是一个粗心的问题,也是缺乏基于清单的发布过程(包括安全性)的结果。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 发现超过1000个iOS应用程序暴露了硬编码的AWS凭证
