Symantec’teki siber güvenlik araştırmacıları, yakın zamanda, 1.800’den fazla Android ve iOS uygulamasında AWS için sabit kodlanmış kimlik bilgileri bulduğunu belirterek, zayıf güvenlik uygulamalarıyla ilgili riskler konusunda uyardı.
Symantec’in tehdit avcılığı ekibi tarafından iOS ve Android için geliştirilen sabit kodlu kimlik bilgilerinden oluşan uygulamaların neredeyse tamamı incelendi.
Aynı AWS jetonlarının varlığı, uygulamaların %50’sinden fazlasında bulundu. Çeşitli geliştiriciler ve şirketler bu belirteçleri uygulamalarında da kullandı. Bu raporun bir sonucu olarak tedarik zinciri için ciddi sonuçlar var.
AWS erişim belirteçlerine kadar izlenebilecek bir dizi şey olmuştur: –
- Paylaşılan kitaplık
- Üçüncü taraf SDK’sı
- Uygulamalar diğer bileşenler kullanılarak geliştirilir
Tedarik Zinciri Riski
Bir mobil uygulama yazılımı geliştirme süreci, malzeme ürünlerinin üretimi ve dağıtımı için bir tedarik zincirine benzer ve aşağıdakileri içerir:-
- Koleksiyon yazılım kitaplıkları
- Yazılım geliştirme kitleri (SDK’lar)
- Mobil uygulamaları geliştirmek
Mobil uygulamalar, şu yukarı akış tedarik zinciri sorunlarına karşı savunmasız hale gelebilir:-
- Mobil uygulama geliştiricilerinin, uygulamalarının kaynak kitaplıklarının ve SDK’larının savunmasız olduğunun farkında olmadığı birçok durum vardır.
- Mobil uygulama geliştirmenin dış kaynak kullanımındaki risk, şirketlerin kendilerini risklere maruz bırakabilecek uygulamalarda güvenlik açıkları ile karşılaşmalarıdır.
- Çoğu şirkette, özellikle daha büyük şirketlerde, birden çok ekip tarafından geliştirilen birden çok uygulama vardır ve bu uygulamalar, ekipler arası güvenlik açığı bulunan kitaplıkları kullanır.
Teknik Analiz
Çoğu durumda, bu tür bir kimlik bilgisi, uygulamanın düzgün çalışması için gerekli olan kaynakları indirmek için kullanılır. Bununla birlikte, bulut hizmetlerine kimlik doğrulama ve yapılandırma dosyalarına erişim de sağlar.
Symantec’in keşfettiği olaylar arasında en dikkat çekici olanı, müşterilerine bir mobil SDK ile birlikte bir intranet ve iletişim platformu sunan ismi açıklanmayan bir B2B şirketiydi.
Bu örnekte, şirketin bulut altyapısı anahtarları, bulut altyapısındaki çeviri hizmetine erişim için SDK’ya gömülüydü.
Bunun sonucunda şirketin tüm müşteri bilgileri kamuya açık hale getirildi. Veritabanına 15.000’den fazla orta ve büyük ölçekli şirket dahil edildi. Veritabanı, kurumsal verilerini ve finansal kayıtlarını kapsıyordu.
Ayrıca araştırmacılar, aynı AI Digital Identity SDK’sını kullanan beş iOS bankacılık uygulaması keşfettiler. Sonuç olarak, 300.000’den fazla parmak izi etkili bir şekilde sızdırıldı.
Ancak siber güvenlik firmasına göre, uygulamalarında ortaya çıkan sorunlar, keşfedildikten sonra kuruluşlara bildirildi.
Ayrıca, Kopyanızı İndirin OWASP Top 10 2022 Başucu Kitabı