Güvenlik araştırmacıları, Android ve iOS’ta sabit kodlanmış Amazon Web Services (AWS) kimlik bilgileri içeren 1.859 uygulama belirledi. Bu büyük bir güvenlik riski oluşturur.
Broadcom Software’in bir parçası olan Symantec’in Tehdit Avcısı Ekibi, bir raporda “uygulamaların dörtte üçünden fazlasının (%77) özel AWS bulut hizmetlerine erişime izin veren geçerli AWS erişim belirteçleri içerdiğini” yazdı.
Uygulamaların %50’den fazlası, geliştiriciler ve şirketler tarafından sağlanan diğer uygulamalarda bulunan aynı AWS belirteçlerini kullanarak bulundu. Bu, tedarik zinciri güvenlik açığının bir göstergesi olabilir.
“AWS erişim belirteçleri, paylaşılan bir kitaplığa, üçüncü taraf SDK’ya veya uygulamaları geliştirmede kullanılan diğer paylaşılan bileşenlere kadar izlenebilir.”
Bu kimlik bilgileri genellikle yapılandırma dosyalarına erişmek, diğer bulut hizmetlerinde kimlik doğrulaması yapmak ve uygulamanın işlevselliği için gerekli kaynakları indirmek için kullanılır.
Endişe verici bir şekilde, tanımlanan uygulamaların yaklaşık %50’si, buluttaki özel dosyalara ve Amazon Simple Storage (S3) kovalarına tam erişim sağlayan geçerli AWS belirteçleri içeriyordu. Buna veri yedeklemelerine ve altyapı dosyalarına erişim de dahildir.
Ayrıca rapor, aynı AI Digital Identity SDK’sına dayanan beş iOS bankacılık uygulamasının bulut kimlik bilgilerini içerdiğini ve temelde 300.000’den fazla kullanıcının parmak izi bilgilerini sızdırdığını buldu.
Symantec tarafından ortaya çıkarılan özellikle endişe verici bir vaka, müşterilerine bir mobil yazılım geliştirme kiti (SDK) de sağlayan bir intranet ve iletişim platformu sunan anonim bir B2B şirketiyle ilgiliydi. Adı açıklanmayan şirket, çeviri hizmetine erişmek için SDK’ya gömülü bulut altyapı anahtarlarına sahipti.
Bu, tüm müşteri verilerinin açığa çıktığı anlamına geliyordu. Bunun 15.000’den fazla orta ve büyük ölçekli firmaya ait kurumsal veri ve finansal kayıtları kapsadığı düşünülmektedir.
“Çeviri bulut hizmetiyle kullanım için sabit kodlanmış erişim belirtecini sınırlamak yerine, belirteci olan herkes B2B şirketinin tüm AWS bulut hizmetlerine tam ve sınırsız erişime sahipti.”
Firma, uygulamalarında ortaya çıkan sorunlar hakkında kuruluşları uyardığını vurguladı.
API, siber güvenlik alanlarında önemli bir konuşma noktası olmaya devam ediyor.