Aplicațiile mobile banking pun în pericol 300.000 de amprente • The Register

Cantități masive de date private – inclusiv peste 300.000 de amprente biometrice utilizate de cinci aplicații mobile banking – au fost expuse riscului de furt din cauza acreditărilor Amazon Web Services codificate, potrivit cercetătorilor de securitate.

Echipa Symantec Threat Hunter a declarat că a descoperit 1.859 de aplicații disponibile public, Android și iOS, care conțin acreditări AWS încorporate. Aceasta înseamnă că, dacă cineva ar fi căutat în interiorul aplicațiilor, ar fi găsit acreditările în cod și ar fi putut să le folosească pentru a accesa serverele găzduite de Amazon și a fura datele utilizatorilor. Marea majoritate (98%) au fost aplicații iOS.

Un total de 77% dintre aceste aplicații conțineau token-uri de acces AWS valide care permiteau accesul la serviciile private de cloud AWS, a menționat echipa de informații într-un studiu publicat astăzi.

În plus, aproape jumătate (47%) conțineau token-uri AWS valide, oferind acces deplin la milioane de fișiere private uneori prin compartimentele Amazon S3. Aceste jetoane de acces AWS codificate ar fi ușor de extras și exploatat și reflectă o problemă serioasă a lanțului de aprovizionare, a declarat Dick O’Brien, editor al echipei Threat Hunter de la Symantec. Registrul.

Ni s-a spus că creatorii acestor aplicații ar putea să nu fi încorporat acreditările ei înșiși sau chiar să nu știe că sunt acolo: jetoanele ar putea fi introduse de o dependență de software prost proiectată.

„Când vorbiți despre dezvoltarea de aplicații mobile, majoritatea oamenilor nu încep de la zero”, a spus O’Brien.

În schimb, dezvoltatorii se bazează pe biblioteci de software, kituri de dezvoltare software (SDK) și alte componente terțe care cuprind „blocurile de bază din care sunt făcute aplicațiile”, a adăugat el.

„Fiecare dintre ei ia decizii cu privire la securitatea unui produs pe care ajungi să-l oferi clienților tăi. Deci o decizie a, să zicem, cineva care furnizează un SDK pentru a pune acreditări hard-coded ar putea afecta mii de aplicații diferite, în funcție de cât de larg. este folosit.”

Nu toate aplicațiile scanate de vânătorii de amenințări au avut o bază masivă de utilizatori. Dar o scufundare mai profundă în unele dintre cele mai interesante s-a dovedit „destul de alarmantă”, a spus O’Brien. „Ceea ce am văzut, profilul aplicațiilor și natura companiilor care au participat, cu siguranță te-ar pune pe gânduri.”

Iată câteva exemple din ceea ce au descoperit cercetătorii.

Informații sensibile expuse

Într-un caz, un furnizor de servicii B2B a oferit un SDK mobil pentru ca clienții săi să îl integreze în aplicațiile lor. S-a descoperit că SDK-ul conține cheile de infrastructură cloud ale furnizorului, expunând potențial toate datele sale – inclusiv date financiare, informații despre angajați, fișiere pentru peste 15.000 de întreprinderi și companii medii și mari, alte informații – care au fost stocate pe platformă.

SDK-ul avea un token AWS codificat pentru a accesa un serviciu de traducere alimentat de Amazon. Cu toate acestea, acest token a oferit acces deplin la sistemele backend ale furnizorului, mai degrabă decât doar instrumentul de traducere. „În loc să limiteze utilizarea jetonului de acces codificat cu serviciul cloud de traducere, oricine avea tokenul avea acces complet și neîngrădit la toate serviciile cloud AWS ale întreprinderii B2B”, a scris Kevin Watkins de la Symantec.

Într-un alt exemplu de ceea ce nu trebuie făcut în dezvoltarea aplicațiilor mobile: Magazinul de securitate a găsit cinci aplicații bancare iOS care foloseau același SDK vulnerabil pentru identitate digitală AI.

Utilizarea de software terță parte pentru componenta de autentificare a unei aplicații este destul de comună.

După cum a remarcat Watkins: „Complexitatea furnizării diferitelor forme de autentificare, menținerea infrastructurii securizate, accesarea și gestionarea identităților poate fi costisitoare și necesită experiență pentru a se face corect”.

Cu toate acestea, poate duce și la scurgeri de date. În acest caz, SDK-ul a inclus acreditări încorporate care au expus amprentele biometrice ale utilizatorilor utilizate pentru autentificare, împreună cu numele și datele de naștere. „Peste 300.000 de amprente ale oamenilor au fost expuse”, a spus O’Brien.

Pe lângă informațiile personale ale clienților din domeniul bancar, cheia de acces a expus și infrastructura și planurile serverului, inclusiv codul sursă API și modelele AI utilizate.

În cele din urmă, într-un al treilea exemplu de risc al lanțului de aprovizionare cu aplicații mobile, Symantec a găsit 16 aplicații de jocuri online folosind o bibliotecă de software vulnerabil care, potrivit lui Watkins, „expune infrastructura completă și serviciile cloud în toate serviciile cloud AWS cu un cont root complet de citire/scriere. acreditările. .” Nu este o imagine bună pentru industria de pariuri sportive foarte reglementată.

Firma de securitate a spus că a informat toate aceste organizații despre defectele.

De ce aplicațiile folosesc chei de acces codificate

Există mai multe motive pentru care aceste aplicații diferite sunt integrate în cheile de acces. Unele sunt legitime: aplicația trebuie să descarce resurse sau să acceseze anumite servicii cloud, cum ar fi serviciul de traducere AWS, care necesită autentificare. Uneori, este ca un dezvoltator să folosească cod mort sau să folosească software pentru a testa aplicația și să nu o elimine înainte de a intra în producție.

„În cea mai mare parte, este determinată de o oarecare ignoranță a ceea ce expuneți”, a spus O’Brien. „Folosind acreditările pentru a accesa o resursă în cloud, apoi expuneți tot ceea ce este accesibil folosind acele acreditări. Probabil este o combinație de puțină ignoranță și poate dintr-un pic de neglijență din partea dezvoltatorilor.”

Organizațiile se pot proteja împotriva acestor vulnerabilități ale lanțului de aprovizionare software, urmând cele mai bune practici pentru partajarea și utilizarea resurselor furnizorilor de cloud computing, a adăugat el.

„În special, dezvoltatorii nu ar trebui să refolosească niciodată partajările în cloud destinate datelor utilizatorilor cu datele interne ale companiei și ar trebui să se asigure că toate acțiunile sunt blocate corespunzător cu permisiuni concepute pentru datele stocate”, a avertizat O’Brien. „Cheile pe termen scurt limitate doar la datele și serviciile cloud de care are nevoie aplicația, nimic mai mult, este calea de urmat.” ®

Add Comment