Более 1800 приложений для iOS и Android содержат жестко закодированные учетные данные AWS - «Новости» » Интернет технологии
sitename
Более 1500 игроков Minecraft скачали с GitHub вредоносные читы - «Новости»
Более 1500 игроков Minecraft скачали с GitHub вредоносные читы - «Новости»
 У иранской криптобиржи Nobitex похитили и уничтожили 90 млн долларов в криптовалюте - «Новости»
У иранской криптобиржи Nobitex похитили и уничтожили 90 млн долларов в криптовалюте - «Новости»
 В Veeam патчат критическую RCE-уязвимость, угрожающую серверам резервного копирования - «Новости»
В Veeam патчат критическую RCE-уязвимость, угрожающую серверам резервного копирования - «Новости»
 Уязвимость udisks позволяет получить root-права в основных дистрибутивах Linux - «Новости»
Уязвимость udisks позволяет получить root-права в основных дистрибутивах Linux - «Новости»
 Канадская авиакомпания WestJet стала жертвой кибератаки - «Новости»
Канадская авиакомпания WestJet стала жертвой кибератаки - «Новости»
 Вредоносная программа-шифровальщик Anubis полностью удаляет данные у отказавшихся платить - «Новости сети»
Вредоносная программа-шифровальщик Anubis полностью удаляет данные у отказавшихся платить - «Новости сети»
 Основатель Nexus Mods признался в выгорании и передал сайт новым владельцам - «Новости сети»
Основатель Nexus Mods признался в выгорании и передал сайт новым владельцам - «Новости сети»
 Samsung начнёт выпускать 2-нм чипы до конца года — это последний шанс вернуть доверие Nvidia и Qualcomm и спасти полупроводниковый бизнес - «Новости сети»
Samsung начнёт выпускать 2-нм чипы до конца года — это последний шанс вернуть доверие Nvidia и Qualcomm и спасти полупроводниковый бизнес - «Новости сети»
 «Лаборатория Касперского» запустила глобальную eSIM — 150 стран и 2000 тарифов - «Новости сети»
«Лаборатория Касперского» запустила глобальную eSIM — 150 стран и 2000 тарифов - «Новости сети»
 На российских маркетплейсах упали продажи контрафактной электроники, но подделок популярных брендов всё ещё много - «Новости сети»
На российских маркетплейсах упали продажи контрафактной электроники, но подделок популярных брендов всё ещё много - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Самоучитель CSS » Отступы и поля » Более 1800 приложений для iOS и Android содержат жестко закодированные учетные данные AWS - «Новости»

✔Более 1800 приложений для iOS и Android содержат жестко закодированные учетные данные AWS - «Новости»

05 сентября 2022 537 Отступы и поля / Новости / Изображения / Типы носителей 0

Эксперты Symantec Threat Hunter Team, входящей в состав Broadcom Software, предупредили, что разработчики мобильных приложений часто раскрывают учетные данные от Amazon Web Services (AWS) в своем коде, а такая халатность может представлять угрозу для всей цепочки поставок.


В общей сложности исследователи нашли 1859 приложений, содержащих жестко закодированные учетные данные от AWS, большинство из которых (98%) — приложения для iOS. Android-приложений обнаружилось только 37 штук.


Примерно 77% изученных приложений содержали действительные токены доступа для AWS, которые можно использовать для прямого доступа к приватным облачным сервисам. Более того, 874 приложения содержали действительные токены для AWS, которые могут использоваться для доступа к облаку, где ​​хранятся БД работающих сервисов, содержащие миллионы записей.


Обычно такие БД хранят информацию об учетной записи пользователя, логи, регистрационную информацию и другие конфиденциальные данные, в зависимости от типа приложения.


В своем отчете аналитики выделили три ярких примера того, как утечка токенов AWS может иметь катастрофические последствия как для авторов проблемного приложения, так и для пользователей.


Одним из примеров стала неназванная B2B-компания, предоставляющая услуги интранета и связи более чем 15 000 малым и средним бизнесам. SDK, который эта компания предоставляет своим клиентам для доступа к услугам, содержит ключи AWS, раскрывающие все личные данные клиентов, хранящиеся на платформе.


Другой случай — это SDK, использующийся для сторонней цифровой идентификация и аутентификации, который в ходу у нескольких банковских приложений для iOS. Из-за жестко закодированных учетных данных в облаке доступна вся аутентификационная информация всех клиентов этих банков (примерно 300 000 человек), включая имена, даты рождения и даже биометрические данные (отпечатки пальцев).


Также эксперты Symantec обнаружили уязвимую платформу для спортивных ставок, которую используют 16 приложений для онлайн-гемблинга. Из-за ошибки разработчиков платформа раскрывала всю свою инфраструктуру и облачные сервисы, предоставляя потенциальным злоумышленникам права на чтение и запись на уровне администратора.


В конце отчета исследователи выделили сразу несколько причин, из-за которых разработчики допускают подобные просчеты и оставляют в коде действительные токены и учетные данные:



  • скачивание или загрузка ассетов и ресурсов, необходимых для работы приложения (обычно больших медиафайлов, записей или изображений);

  • доступ к файлам конфигурации приложения и/или регистрации устройств, а также сбор информации об устройствах и ее хранение в облаке;

  • доступ к облачным сервисам, требующим аутентификации, например к службам перевода;

  • без конкретной причины, код давно не обновлялся и/или использовался для тестирования, но так и не был очищен должным образом.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты Symantec Threat Hunter Team, входящей в состав Broadcom Software, предупредили, что разработчики мобильных приложений часто раскрывают учетные данные от Amazon Web Services (AWS) в своем коде, а такая халатность может представлять угрозу для всей цепочки поставок. В общей сложности исследователи нашли 1859 приложений, содержащих жестко закодированные учетные данные от AWS, большинство из которых (98%) — приложения для iOS. Android-приложений обнаружилось только 37 штук. Примерно 77% изученных приложений содержали действительные токены доступа для AWS, которые можно использовать для прямого доступа к приватным облачным сервисам. Более того, 874 приложения содержали действительные токены для AWS, которые могут использоваться для доступа к облаку, где ​​хранятся БД работающих сервисов, содержащие миллионы записей. Обычно такие БД хранят информацию об учетной записи пользователя, логи, регистрационную информацию и другие конфиденциальные данные, в зависимости от типа приложения. В своем отчете аналитики выделили три ярких примера того, как утечка токенов AWS может иметь катастрофические последствия как для авторов проблемного приложения, так и для пользователей. Одним из примеров стала неназванная B2B-компания, предоставляющая услуги интранета и связи более чем 15 000 малым и средним бизнесам. SDK, который эта компания предоставляет своим клиентам для доступа к услугам, содержит ключи AWS, раскрывающие все личные данные клиентов, хранящиеся на платформе. Другой случай — это SDK, использующийся для сторонней цифровой идентификация и аутентификации, который в ходу у нескольких банковских приложений для iOS. Из-за жестко закодированных учетных данных в облаке доступна вся аутентификационная информация всех клиентов этих банков (примерно 300 000 человек), включая имена, даты рождения и даже биометрические данные (отпечатки пальцев). Также эксперты Symantec обнаружили уязвимую платформу для спортивных ставок, которую используют 16 приложений для онлайн-гемблинга. Из-за ошибки разработчиков платформа раскрывала всю свою инфраструктуру и облачные сервисы, предоставляя потенциальным злоумышленникам права на чтение и запись на уровне администратора. В конце отчета исследователи выделили сразу несколько причин, из-за которых разработчики допускают подобные просчеты и оставляют в коде действительные токены и учетные данные: скачивание или загрузка ассетов и ресурсов, необходимых для работы приложения (обычно больших медиафайлов, записей или изображений); доступ к файлам конфигурации приложения и/или регистрации устройств, а также сбор информации об устройствах и ее хранение в облаке; доступ к облачным сервисам, требующим аутентификации, например к службам перевода; без конкретной причины, код давно не обновлялся и/или использовался для тестирования, но так и не был очищен должным образом.
CSS

Смотрите также
А что там на главной? )))


Комментарии )))
Забыли пароль? Регистрация
Войти через: