Αποκάλυψη: Τα κρυφά κλειδιά ταυτότητας Azure σε εφαρμογές Android και iOS που χρησιμοποιούν εκατομμύρια – Πόσο ασφαλή είναι τα δεδομένα σας;

Πολλές δημοφιλείς εφαρμογές για κινητά για iOS και Android συνοδεύονται από σκληρά κωδικοποιημένα, μη κρυπτογραφημένα διαπιστευτήρια για υπηρεσίες cloud όπως το Amazon Web Services (AWS) και το Microsoft Azure Blob Storage, εκθέτοντας τα δεδομένα χρήστη και τον πηγαίο κώδικα σε παραβιάσεις ασφαλείας.

Η έκθεση αυτού του τύπου διαπιστευτηρίων μπορεί εύκολα να οδηγήσει σε μη εξουσιοδοτημένη πρόσβαση σε κουβάδες αποθήκευσης και βάσεις δεδομένων με ευαίσθητα δεδομένα χρήστη. Εκτός από αυτό, ένας εισβολέας θα μπορούσε να τα χρησιμοποιήσει για να χειραγωγήσει ή να κλέψει δεδομένα.

Σύμφωνα με μια αναφορά από τη Symantec, μια εταιρεία Broadcom, αυτά τα κλειδιά υπάρχουν στις βάσεις κώδικα των εφαρμογών λόγω σφαλμάτων και κακών πρακτικών κατά τη φάση ανάπτυξης.

“Η πρόσφατη ανάλυση αποκάλυψε μια ανησυχητική τάση: αρκετές ευρέως χρησιμοποιούμενες εφαρμογές βρέθηκαν να περιέχουν διαπιστευτήρια σκληρού κώδικα και μη κρυπτογραφημένης υπηρεσίας cloud στις βάσεις κωδικών τους.” Η Symantec εξηγεί.

«Αυτή η επικίνδυνη πρακτική σημαίνει ότι οποιοσδήποτε έχει πρόσβαση στο δυαδικό ή στον πηγαίο κώδικα της εφαρμογής θα μπορούσε δυνητικά να εξαγάγει αυτά τα διαπιστευτήρια και να τα χρησιμοποιήσει για να χειραγωγήσει ή να διεισδύσει δεδομένα, οδηγώντας σε σοβαρές παραβιάσεις ασφαλείας», λένε οι ερευνητές.

Η Symantec λέει ότι οι ερευνητές της βρήκαν διαπιστευτήρια για υπηρεσίες cloud στις ακόλουθες εφαρμογές στο Google Play:

1. Pic Stitch – 5 εκατομμύρια+ λήψεις – Διαπιστευτήρια με σκληρό κώδικα Amazon
2. Meru Cabs – 5 εκατομμύρια+ λήψεις – Διαπιστευτήρια με σκληρό κώδικα του Microsoft Azure Blob Storage
3. Sulekha Business – 500.000+ λήψεις – σκληρά κωδικοποιημένα διαπιστευτήρια του Microsoft Azure Blob Storage
4. Ανακούφιση Εμβοών ReSound – 500.000+ λήψεις – Διαπιστευτήρια με σκληρό κώδικα του Microsoft Azure Blob Storage
5. Saludsa – 100.000+ λήψεις – Διαπιστευτήρια με σκληρό κώδικα του Microsoft Azure Blob Storage
6. Chola Ms Break In – 100.000+ λήψεις – Διαπιστευτήρια με σκληρό κώδικα του Microsoft Azure Blob Storage
7. EatSleepRIDE GPS μοτοσυκλέτας – 100.000+ λήψεις – Διαπιστευτήρια με σκληρό κώδικα Twilio
8. Beltone Εμβοές Ηρεμιστικό – 100.000+ λήψεις – Διαπιστευτήρια με σκληρό κώδικα του Microsoft Azure Blob Storage

Ανακάλυψαν επίσης διαπιστευτήρια σε πολλές δημοφιλείς εφαρμογές που αναφέρονται στο App Store της Apple:

1. Crumbl – 3,9 εκατομμύρια αξιολογήσεις – Διαπιστευτήρια με σκληρό κώδικα Amazon
2. Εύρηκα: Κερδίστε χρήματα για έρευνες – 402,1 K+ αξιολογήσεις – Διαπιστευτήρια με σκληρό κώδικα Amazon
3. Videoshop – Επεξεργαστής βίντεο – 357,9K+ αξιολογήσεις – Διαπιστευτήρια με σκληρό κώδικα Amazon
4. Πασιέντζα Clash: Κερδίστε πραγματικά μετρητά – 244,8K+ αξιολογήσεις – Διαπιστευτήρια με σκληρό κώδικα Amazon
5. Zap Surveys – Κερδίστε εύκολα χρήματα – 235K+ αξιολογήσεις – Διαπιστευτήρια με σκληρό κώδικα Amazon

Αν και το App Store δεν αναφέρει τον αριθμό των λήψεων, ο αριθμός είναι συνήθως πολύ υψηλότερος από τον αριθμό των αξιολογήσεων που αναφέρονται.

Αξίζει να σημειωθεί ότι η Google εμφανίζει στο Play Store τον συνολικό αριθμό λήψεων για τη διάρκεια ζωής της εφαρμογής και δεν αντικατοπτρίζει τις ενεργές εγκαταστάσεις.

Η παρουσία οποιασδήποτε από τις παραπάνω εφαρμογές στο τηλέφωνό σας δεν σημαίνει ότι τα προσωπικά σας δεδομένα έχουν κλαπεί, αλλά ότι είναι προσβάσιμα και ότι οι χάκερ θα μπορούσαν να τα διεισδύσουν εκτός εάν οι προγραμματιστές αναλάβουν δράση και αφαιρέσουν τον κίνδυνο.

Τον Σεπτέμβριο του 2022, η Symantec σήμανε συναγερμό σχετικά με αυτόν τον κίνδυνο, τονίζοντας ότι οι ερευνητές της βρήκαν περισσότερα από 1.800 εφαρμογές iOS και Android που περιείχε διαπιστευτήρια AWS, το 77% των εφαρμογών είχαν έγκυρα διακριτικά πρόσβασης στη βάση κώδικα.

Οι ερευνητές συνιστούν στους προγραμματιστές να ακολουθούν τις βέλτιστες πρακτικές για την προστασία ευαίσθητων πληροφοριών σε εφαρμογές για κινητά.

Αυτό περιλαμβάνει τη χρήση μεταβλητών περιβάλλοντος για την αποθήκευση διαπιστευτηρίων, τη χρήση εργαλείων διαχείρισης μυστικών (π.χ. AWS Secrets Manager, Azure Key Vault), κρυπτογράφηση δεδομένων, τακτικές αναθεωρήσεις και ελέγχους κώδικα και ενσωμάτωση αυτοματοποιημένης σάρωσης ασφαλείας νωρίς στη διαδικασία ανάπτυξης για τον εντοπισμό ευαίσθητων δεδομένων ή ζητημάτων ασφαλείας .