最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

5个移动银行应用程序如何让300000名用户的数字指纹面临风险

网络安全 快米云 来源:快米云 33浏览

据安全研究人员称,大量私人数据——包括五个移动银行应用程序使用的超过 300,000 个生物特征数字指纹——由于硬编码的亚马逊网络服务凭证而面临被盗的风险。

赛门铁克的 Threat Hunter 团队表示,它发现了 1,859 个公开可用的应用程序,包括 Android 和 iOS,其中包含内置的 AWS 凭证。这意味着如果有人要查看应用程序内部,他们会在代码中找到凭据,并可能使用它来访问应用程序的后端亚马逊托管服务器并窃取用户数据。绝大多数 (98%) 是 iOS 应用程序。

情报团队在今天发布 的研究报告中指出,这些应用程序中有 77% 包含允许访问私有 AWS 云服务的有效 AWS 访问令牌。

此外,几乎一半 (47%) 包含有效的 AWS 令牌,通过 Amazon S3 存储桶提供对有时数百万个私有文件的完全访问权限。赛门铁克 Threat Hunter 团队的首席编辑 Dick O’Brien 告诉The Register,这些硬编码的 AWS 访问令牌很容易提取和利用,并反映了严重的供应链问题。

我们被告知,这些应用程序的制造商可能自己没有烘焙凭证,甚至不知道它们在那里:令牌可能是由设计不佳的软件依赖项引入的。

“当你谈论移动应用程序开发时,大多数人不会从头开始,”O’Brien 说。 

相反,开发人员依赖于软件库、软件开发工具包 (SDK) 和其他第三方组件,这些组件构成了“构成应用程序的构建块”,他补充道。

“他们每个人都对最终提供给客户的产品的安全性做出决定。因此,例如,提供 SDK 以放入硬编码凭据的人的决定可能会影响数千种不同的应用程序,具体取决于关于它的使用范围有多广。”

并非威胁猎手分析的所有应用程序都拥有庞大的用户群。但奥布莱恩说,对一些更有趣的问题进行更深入的研究结果“相当令人担忧”。“我们所看到的,应用程序的概况以及参与其中的企业的性质,肯定会让你停下来。”

以下是研究人员发现的几个例子。

敏感信息暴露

在一个案例中,B2B 服务提供商向其客户提供了一个移动 SDK,以集成到他们的应用程序中。事实证明,SDK 包含提供商的云基础设施密钥,这可能会暴露其存储在平台上的所有数据——包括财务、员工信息、超过 15,000 家中型和大型公司的文件以及其他信息。

该开发工具包有一个硬编码的 AWS 令牌来访问由 Amazon 提供支持的翻译服务。但是,该令牌授予对提供商后端系统的完全访问权限,而不仅仅是翻译工具。赛门铁克的 Kevin Watkins 写道:“拥有该令牌的任何人都可以完全不受限制地访问所有 B2B 公司的 AWS 云服务,而不是限制硬编码访问令牌与翻译云服务一起使用。”

在移动应用程序开发中不应该做的另一个示例:安全商店发现了五个使用相同易受攻击的人工智能数字身份 SDK 的 iOS 银行应用程序。 

将第三方软件用于应用程序的身份验证组件是相当普遍的。

正如沃特金斯所指出的:“提供不同形式的身份验证、维护安全基础设施以及访问和管理身份的复杂性可能会产生高昂的成本,并且需要专业知识才能正确完成。”

但是,它也可能导致数据泄露。在这种情况下,SDK 包含嵌入式凭据,这些凭据会暴露用于身份验证的用户生物特征数字指纹以及姓名和出生日期。“超过 300,000 人的指纹被暴露,”奥布莱恩说。  

除了银行客户的个人信息外,访问密钥还暴露了服务器基础设施和蓝图,包括 API 源代码和使用的 AI 模型。

最后,在移动应用程序供应链风险的第三个示例中,赛门铁克发现 16 个在线赌博应用程序使用了一个易受攻击的软件库,据 Watkins 称,该软件库“暴露了所有 AWS 云服务中的完整基础设施和云服务,并具有完整的读/写根账户凭证。” 对于高度监管的体育博彩行业来说,这不是一个好现象。 

这家安全公司表示,它已将这些漏洞通知了所有这些组织。

为什么应用程序使用硬编码的访问密钥

这些不同的应用程序包含在访问密钥中的原因有几个。有些是合法的:应用程序需要下载资源或访问某些需要身份验证的云服务,例如 AWS 翻译服务。有时,这是一个开发人员使用死代码的问题,或者使用软件来测试应用程序,而不是在应用程序投入生产之前将其删除。

“在很大程度上,它是由对你所暴露的内容的某种程度的无知驱动的,”奥布莱恩说。“通过使用凭据访问云中的一个资源,您随后会暴露使用这些凭据可访问的所有其他内容。这可能是开发人员的一点无知和一点马虎的结合。 “

他补充说,组织可以通过遵循共享和使用云 IT 提供商资源的最佳实践来保护自己免受这些软件供应链缺陷的影响。

“特别是,开发人员不应将用于用户数据的云共享与内部公司数据重复使用,并应确保所有共享都被适当地锁定,并为存储的数据设计了权限,”O’Brien 警告说。“短期密钥仅限于应用程序所需的数据和云服务,仅此而已,是要走的路。”

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 5个移动银行应用程序如何让300000名用户的数字指纹面临风险