İOS ve Android için çok sayıda popüler mobil uygulamalar, Amazon Web Services (AWS) ve Microsoft Azure Blob depolama alanında bulut hizmetleri için sert kodlanmış, şifrelenmemiş kimlik bilgileri ile birlikte, kullanıcı verilerini ve kaynak kodunu güvenlik ihlallerine maruz bırakır.
Bu tür kimlik bilgilerinin ortaya çıkması, hassas kullanıcı verileri ile depolama kovalarına ve veritabanlarına yetkisiz erişime kolayca yol açabilir. Bunun dışında, bir saldırgan bunları verileri manipüle etmek veya çalmak için kullanabilir.
Bir Broadcom şirketi olan Symantec'in bir raporuna göre, bu anahtarlar geliştirme aşamasında hatalar ve kötü uygulamalar nedeniyle uygulamaların kod tabanlarında mevcuttur.
Symantec, "Son analiz rahatsız edici bir eğilimi ortaya çıkardı: yaygın olarak kullanılan birkaç uygulamanın kod tabanlarında sert kodlanmış ve şifrelenmemiş bulut hizmeti kimlik bilgileri içerdiği bulundu."
Araştırmacılar, "Bu tehlikeli uygulama, uygulamanın ikili veya kaynak koduna erişimi olan herkesin bu kimlik bilgilerini potansiyel olarak ayıklayabileceği ve verileri manipüle etmek veya pessat etmek için kötüye kullanabileceği ve ciddi güvenlik ihlallerine yol açabileceği anlamına geliyor." Diyor.
Symantec, Rearcher'larının Google Play'de aşağıdaki uygulamalarda bulut hizmetlerine kimlik bilgileri bulduğunu söylüyor:
Ayrıca Apple'ın App Store'da listelenen birkaç popüler uygulamada kimlik bilgilerini keşfettiler:
App Store indirme sayısını rapor etmese de, sayı genellikle listelenen derecelendirme miktarından çok daha yüksektir.
Google'ın Play Store'da uygulamanın ömrü için toplam indirme sayısını ve aktif kurulumları yansıtmadığını belirtmek gerekir.
Telefonunuzda yukarıdaki uygulamaların herhangi birinin varlığı, kişisel verilerinizin çalındığı, ancak erişilebilir olduğu ve geliştiriciler harekete geçip riski kaldırmadıkça bilgisayar korsanlarının bunu pes etebileceği anlamına gelmez.
Eylül 2022'de Symantec, bu riskle ilgili alarmı artırdı ve araştırmacılarının AWS kimlik bilgileri içeren 1.800'den fazla iOS ve Android uygulamaları bulduğunu vurguladı, uygulamaların% 77'si kod tabanında geçerli erişim belirteçlerine sahip.
Araştırmacılar, geliştiricilerin mobil uygulamalarda hassas bilgileri korumak için en iyi uygulamaları izlemelerini önerir.
Bu, kimlik bilgilerini saklamak için ortam değişkenlerini kullanmayı, sırlar yönetimi araçlarını (örn. AWS Sırları Yöneticisi, Azure Anahtar Vault) kullanmayı, verileri şifrelemeyi, normal kod incelemelerini ve denetimlerini entegre etmeyi ve hassas verileri veya güvenlik sorunlarını tespit etmek için otomatik güvenlik taramasını entegre etmeyi içerir. .
Ransomware çeteleri artık veri hırsızlığı için Microsoft Azure aracını kötüye kullanıyor
Milyonlarca tarafından kullanılan E2EE bulut depolama platformlarında şiddetli kusurlar
SECOPS ekipleri için en iyi 5 bulut güvenlik otomasyonu
Google Play'de 200'den fazla kötü amaçlı uygulama milyonlarca kez indirildi
Bu 30 dolarlık paket, AWS, CompTIA Cloud IT sertifikalarına hazırlanmanıza yardımcı olur
Kaynak: Bleeping Computer