Các nhà nghiên cứu đã xác định 1.859 ứng dụng trên Android và iOS có chứa thông tin đăng nhập Amazon Web Services (AWS) được mã hóa cứng, gây ra rủi ro bảo mật lớn.
“Hơn 3/4 (77%) ứng dụng chứa mã thông báo truy cập AWS hợp lệ cho phép truy cập vào các dịch vụ đám mây AWS riêng”, nhóm Threat Hunter của Symantec, một bộ phận của Broadcom Software, cho biết trong một báo cáo được chia sẻ với The Hacker News.
Điều thú vị là hơn 50% ứng dụng được tìm thấy bằng cách sử dụng cùng mã thông báo AWS được tìm thấy trong các ứng dụng khác do các nhà phát triển và công ty khác duy trì, cho thấy lỗ hổng trong chuỗi cung ứng.
Các nhà nghiên cứu cho biết: “Các mã thông báo truy cập AWS có thể được truy xuất từ thư viện được chia sẻ, SDK của bên thứ ba hoặc thành phần được chia sẻ khác được sử dụng để phát triển ứng dụng”.
Các thông tin xác thực này thường được sử dụng để tải xuống các tài nguyên thích hợp cần thiết cho các chức năng của ứng dụng cũng như truy cập các tệp cấu hình và xác thực với các dịch vụ đám mây khác.
Tệ hơn nữa, 47% ứng dụng được xác định chứa mã thông báo AWS hợp lệ đã cấp quyền truy cập hoàn chỉnh vào tất cả các tệp riêng tư và nhóm Amazon Simple Storage Service (S3) trên đám mây. Điều này bao gồm các tệp cơ sở hạ tầng và các bản sao lưu dữ liệu, trong số những tệp khác.
Trong một trường hợp được phát hiện bởi Symantec, một công ty B2B không tên tuổi cung cấp mạng nội bộ và nền tảng truyền thông cũng cung cấp bộ phát triển phần mềm di động (SDK) cho khách hàng của họ có các khóa cơ sở hạ tầng đám mây được nhúng trong SDK để truy cập dịch vụ dịch thuật.
Điều này dẫn đến việc lộ toàn bộ dữ liệu cá nhân của khách hàng, bao gồm dữ liệu doanh nghiệp và hồ sơ tài chính của hơn 15.000 công ty quy mô vừa đến lớn.
Các nhà nghiên cứu lưu ý: “Thay vì giới hạn mã thông báo truy cập được mã hóa cứng để sử dụng với dịch vụ đám mây dịch, bất kỳ ai có mã thông báo đều có quyền truy cập đầy đủ vào tất cả các dịch vụ đám mây AWS của công ty B2B”, các nhà nghiên cứu lưu ý.
Cũng được phát hiện là năm ứng dụng ngân hàng iOS dựa trên cùng một SDK nhận dạng kỹ thuật số AI có chứa thông tin đăng nhập đám mây, làm rò rỉ hiệu quả hơn 300.000 thông tin vân tay của người dùng.
Công ty an ninh mạng cho biết họ đã cảnh báo các tổ chức về các vấn đề được phát hiện trong ứng dụng của họ.
Sự phát triển này diễn ra khi các nhà nghiên cứu từ CloudSEK tiết lộ rằng 3.207 ứng dụng dành cho thiết bị di động đang làm lộ rõ ràng các khóa API của Twitter, một số trong số đó có thể được sử dụng để truy cập trái phép vào các tài khoản Twitter được liên kết với chúng.
.
