Viac ako 40 aplikácií s viac ako 100 miliónmi inštalácií zistilo únik kľúčov AWS

Väčšina používateľov mobilných aplikácií má tendenciu slepo dôverovať, že aplikácie, ktoré si stiahnu z obchodov s aplikáciami, sú bezpečné. Ale nie vždy to tak je.

Spoločnosť CloudSEK, ktorá sa zaoberá kybernetickou bezpečnosťou a strojovým spravodajstvom, nedávno poskytla platformu s názvom BeVigil, kde môžu jednotlivci pred inštaláciou aplikácie vyhľadávať a kontrolovať bezpečnostné hodnotenia aplikácií a ďalšie bezpečnostné problémy, aby demonštrovali úskalia a identifikovali slabé miesta vo veľkom meradle.

Najnovšia správa zdieľaná s The Hacker News podrobne opísala, ako vyhľadávací nástroj BeVigil identifikoval viac ako 40 aplikácií – s viac ako 100 miliónmi stiahnutí – ktoré mali napevno zakódované súkromné Amazon Kľúče webových služieb (AWS), ktoré sú v nich zabudované, vystavujú ich interné siete a údaje ich používateľov riziku kybernetických útokov.

BeVigil zistil, že z populárnych aplikácií unikajú kľúče AWS

Únik kľúča AWS bol zaznamenaný v niektorých hlavných aplikáciách, ako sú Adobe Photoshop Fix, Adobe Comp, Hootsuite, meteorologický kanál IBM a online nákupné služby Club Factory a Wholee. Zistenia sú výsledkom analýzy viac ako 10 000 aplikácií odoslaných do BeVigil spoločnosti CloudSEK, vyhľadávacieho nástroja na zabezpečenie mobilných aplikácií.

Kľúče AWS napevno zakódované v zdrojovom kóde mobilnej aplikácie môžu predstavovať obrovský problém, najmä ak je [Identity and Access Management] Rola má široký rozsah a oprávnenia,” uviedli výskumníci CloudSEK. „Možnosti zneužitia sú tu nekonečné, keďže útoky môžu byť reťazené a útočník môže získať ďalší prístup k celej infraštruktúre, dokonca aj ku kódovej základni a konfiguráciám.”

CloudSEK uviedol, že tieto bezpečnostné obavy zodpovedne oznámil spoločnosti AWS a dotknutým spoločnostiam nezávisle.

V aplikácii, ktorú analyzovala firma zaoberajúca sa kybernetickou bezpečnosťou so sídlom v Bengaluru, mal odhalený kľúč AWS prístup k viacerým službám AWS vrátane poverení pre službu úložiska S3, čo následne otvorilo prístup k 88 vedrám s 10 073 444 súbormi a údajmi vo výške 5.5 terabajtov.

Súčasťou balíkov bol aj zdrojový kód, zálohy aplikácií, správy používateľov, testovacie artefakty, konfiguračné a poverovacie súbory, ktoré bolo možné použiť na získanie hlbšieho prístupu k infraštruktúre aplikácie vrátane používateľských databáz.

Nesprávne nakonfigurované inštancie AWS prístupné z internetu boli v poslednej dobe príčinou mnohých porušení údajov. V októbri 2019 kybernetická bezpečnostná firma Imperva zverejnila, že informácie od nešpecifikovanej podskupiny používateľov jej produktu Cloud Firewall boli dostupné online po neúspešnej cloudovej migrácii jej zákazníckej databázy, ktorá sa začala v roku 2017.

Minulý mesiac utrpela indická online obchodná a diskontná platforma Upstox bezpečnostný incident po tom, čo notoricky známa hackerská skupina s názvom ShinyHunters získala prístup k nesprávne nakonfigurovanému vedra AWS S3.

„Pevne zakódované kľúče API sú ako zamknutie domu, ale ponechanie kľúča v obálke s nápisom ‚Neotvárať‘,“ povedal Shahrukh Ahmad, CTO Bevigil. “Tieto kľúče by mohli ľahko objaviť zlomyseľní hackeri alebo konkurenti, ktorí by ich mohli použiť na kompromitáciu ich údajov a sietí.”

Čo je BeVigil a ako funguje?

BeVigil je mobilný bezpečnostný vyhľadávací nástroj, ktorý umožňuje výskumníkom vyhľadávať metadáta aplikácií, kontrolovať ich kód, prezerať bezpečnostné správy a skóre rizika a dokonca skenovať nové súbory APK.

Mobilné aplikácie sa stali terčom mnohých nedávnych útokov na dodávateľský reťazec. Útočníci vkladajú škodlivý kód do súprav SDK, ktoré používajú vývojári aplikácií. Bezpečnostné tímy sa môžu spoľahnúť na BeVigil pri identifikácii akýchkoľvek škodlivých aplikácií, ktoré používajú škodlivé súpravy SDK.

Výskumníci v oblasti bezpečnosti môžu pomocou vyhľadávania metadát vykonať hĺbkové preskúmanie rôznych aplikácií, ktoré sú na webe. Správy o skenovaní generované BeVigil sú dostupné celej komunite CloudSEK. Aby som to zhrnul, je to niečo ako VirusTotal pre spotrebiteľov a výskumníkov v oblasti bezpečnosti.

Čo môžete hľadať v BeVigil?

V miliónoch aplikácií môžete vyhľadať zraniteľné úryvky kódu alebo kľúčové slová a zistiť, ktoré aplikácie ich obsahujú. Vďaka tomu môžu výskumníci ľahko analyzovať kvalitné údaje, korelovať hrozby a vysporiadať sa s falošnými pozitívami.

Okrem vyhľadania konkrétnej aplikácie jednoduchým zadaním názvu môžete nájsť aj celý zoznam aplikácií:

  • z organizácie,
  • nad alebo pod určitým bezpečnostným skóre; napr. úverové aplikácie s bezpečnostným skóre 7,
  • uvoľnené v určitom časovom období (vyberte dátumy „od“ a „do“); napr. identifikovať úverové aplikácie vydané v roku 2021,
  • zo 48 rôznych kategórií, ako sú financie, vzdelávanie, nástroje, zdravie a fitness atď.,
  • od konkrétneho vývojára vyhľadávaním pomocou e-mailovej adresy vývojára,
  • vyvinuté v konkrétnej krajine vyhľadávaním; napríklad identifikovať bankové aplikácie z Nemecka,
  • vyvinuté na konkrétnom mieste vyhľadávaním pomocou kódu PIN alebo e-mailovej adresy vývojára,
  • ktoré nahrávajú zvuk na pozadí,
  • ktoré zaznamenávajú polohu na pozadí,
  • ktorý má prístup k zariadeniu fotoaparátu,
  • ktoré môžu získať prístup k špecifickým povoleniam na vašom zariadení,
  • so špecifickou cieľovou verziou SDK

Okrem toho je možné použiť aj regexy na nájdenie aplikácií s chybami zabezpečenia hľadaním vzorov kódu.