Cloud Networks • Новости • 1859 приложений содержат закодированные учетные данные AWS
Amazon-Web-Services
09.09.2022

1859 приложений содержат закодированные учетные данные AWS

Исследователи безопасности обнаружили 1859 приложений для Android и iOS, содержащих жестко закодированные учетные данные Amazon Web Services (AWS). Это представляет огромную угрозу безопасности.

Команда Symantec Threat Hunter Team составила отчет. Оказалось, что:

  • Более 77% приложений содержат действительные токены доступа AWS, позволяющие получить доступ к частным облачным сервисам AWS.
  • Более 50 % приложений используют те же токены AWS, что и в других приложениях, поддерживаемых разработчиками и компаниями. Это может указывать на уязвимость цепочки поставок.
  • Почти 50 % выявленных приложений содержат действительные токены AWS, предоставляющие полный доступ к личным файлам и корзинам Amazon Simple Storage в облаке, включая доступ к резервным копиям данных и файлам инфраструктуры.
  • 5 банковских приложений для iOS, использующих один и тот же SDK AI Digital Identity, содержат облачные учетные данные, что может привести к утечке информации об отпечатках пальцев более 300 000 пользователей.

 

Токены доступа AWS можно отследить до общей библиотеки, стороннего SDK или другого общего компонента, используемого при разработке приложений. Эти учетные данные обычно используются для доступа к файлам конфигурации и аутентификации в других облачных службах и загрузки ресурсов, необходимых для работы приложения.

 

Symantec раскрыла случай, который касался анонимной компании B2B, предлагающей интранет, коммуникационную платформу и комплект для разработки мобильного программного обеспечения (SDK) для своих клиентов.

Ключи облачной инфраструктуры компании были встроены в SDK для доступа к службе перевода. То есть все данные о клиентах были раскрыты. Считается, что это включало корпоративные данные и финансовые отчеты, принадлежащие более чем 15 000 компаний среднего и крупного размера.

Amazon Web Services предупреlила о проблемах, обнаруженных в приложениях. Вместо того, чтобы ограничивать жестко закодированный токен доступа для использования с облачным сервисом перевода, любой, у кого был токен, имел полный неограниченный доступ ко всем облачным сервисам AWS компании B2B.

Отметим, что API остается важным предметом обсуждения в сфере кибербезопасности.

Поделитесь этим с другими!
Мы не передадим ваши данные третьим лицам и не будем донимать спамом
О нас
Решения
Блог
+7 (495) 255-06-30
info@cloudnetworks.ru
ООО «Облачные сети»
г. Москва, Сущевский вал, 18, этаж 15
Политика конфиденциальностиАнтикоррупционная политика
to-top