Araştırmacılar, Android ve iOS’ta sabit kodlanmış Amazon Web Services (AWS) kimlik bilgileri içeren ve büyük bir güvenlik riski oluşturan 1.859 uygulama belirledi.
Broadcom Software’in bir parçası olan Symantec’in Threat Hunter ekibi The Hacker News ile paylaşılan bir raporda, “Uygulamaların dörtte üçünden fazlası (%77), özel AWS bulut hizmetlerine erişime izin veren geçerli AWS erişim belirteçleri içeriyordu” dedi.
İlginç bir şekilde, uygulamaların %50’den biraz fazlasının, diğer geliştiriciler ve şirketler tarafından sağlanan diğer uygulamalarda bulunan aynı AWS belirteçlerini kullandığı ve bu da bir tedarik zinciri güvenlik açığı olduğunu gösteriyor.
Araştırmacılar, “AWS erişim belirteçleri, paylaşılan bir kitaplığa, üçüncü taraf SDK’ya veya uygulamaların geliştirilmesinde kullanılan diğer paylaşılan bileşenlere kadar izlenebilir” dedi.
Bu kimlik bilgileri, genellikle uygulamanın işlevleri için gerekli olan uygun kaynakları indirmek, yapılandırma dosyalarına erişmek ve diğer bulut hizmetlerinde kimlik doğrulaması yapmak için kullanılır.
Daha da kötüsü, tanımlanan uygulamaların %47’si, buluttaki tüm özel dosyalara ve Amazon Simple Storage Service (S3) kovalarına tam erişim sağlayan geçerli AWS jetonları içeriyordu. Bu, diğerlerinin yanı sıra altyapı dosyalarını ve veri yedeklemelerini içeriyordu.
Symantec tarafından ortaya çıkarılan bir örnekte, müşterilerine bir mobil yazılım geliştirme kiti (SDK) de sağlayan bir intranet ve iletişim platformu sunan isimsiz bir B2B şirketi, çeviri hizmetine erişmek için SDK’ya gömülü bulut altyapı anahtarlarına sahipti.
Bu, 15.000’den fazla orta ve büyük ölçekli firmaya ait kurumsal verileri ve mali kayıtları kapsayan tüm müşterilerinin özel verilerinin açığa çıkmasıyla sonuçlandı.
Araştırmacılar, “Çeviri bulut hizmetiyle kullanım için sabit kodlanmış erişim belirtecini sınırlamak yerine, belirteci olan herkes B2B şirketinin tüm AWS bulut hizmetlerine tam ve sınırsız erişime sahipti” dedi.
Ayrıca, bulut kimlik bilgilerini içeren ve 300.000’den fazla kullanıcının parmak izi bilgilerini etkin bir şekilde sızdıran aynı AI Digital Identity SDK’sına dayanan beş iOS bankacılık uygulaması da ortaya çıkarıldı.
Siber güvenlik firması, uygulamalarında ortaya çıkan sorunlar hakkında kuruluşları uyardığını söyledi.
Geliştirme, CloudSEK araştırmacılarının 3.207 mobil uygulamanın Twitter API anahtarlarını açık bir şekilde açığa çıkardığını ve bunların bir kısmının kendileriyle ilişkili Twitter hesaplarına yetkisiz erişim elde etmek için kullanılabileceklerini ortaya koymasıyla geldi.