Bazıları milyonlarca kez indirilen, yaygın olarak kullanılan birçok mobil uygulama, sabit kodlu ve şifrelenmemiş verileri açığa çıkarıyor bulut hizmetlerine yönelik kimlik bilgileri Symantec’ten araştırmacılar kod tabanlarında şunu buldular. Bu, potansiyel olarak uygulamanın ikili dosyasına veya kaynak koduna erişimi olan herkesin, bulut altyapısından kötüye kullanım amacıyla kimlik bilgilerini çıkarmasına olanak tanır.
Hem Android hem de iPhone cihazlara yönelik popüler uygulamalar, Symantec kodlarında Amazon Web Services (AWS) ve Microsoft Azure Blog Depolama için kimlik bilgilerini içerir açıklığa kavuşmuş bu hafta bir blog yazısında. Ayrıca her cihaz platformunun ilgili resmi mobil uygulama mağazasında bulunurlar: Google Play ve Apple’ın App Store’u.
“Bu tehlikeli uygulama, uygulamanın ikili koduna veya kaynak koduna erişimi olan herkesin potansiyel olarak bu kimlik bilgileri Symantec mühendisleri gönderide şunları yazdı: “Bunları verileri manipüle etmek veya sızdırmak için kötüye kullanabiliriz, bu da ciddi güvenlik ihlallerine yol açar.”
Ayrıca, hem iOS hem de Android platformlarındaki uygulamalardaki güvenlik açıklarının “yaygın doğası”, mobil uygulamalar söz konusu olduğunda “daha güvenli geliştirme uygulamalarına doğru geçiş yapılmasına yönelik acil ihtiyacın altını çiziyor” diye eklediler.
Symantec’in araştırması, kod tabanlarında AWS veya Azure kimlik bilgilerini içeren, geniş çapta dağıtılan bir dizi mobil uygulamaya odaklandı. İlki açısından, hem Android hem de iOS uygulamaları kimlik bilgilerinin açığa çıkmasından suçluyken, bazı Android uygulamaları Azure depolama kimlik bilgilerini açığa çıkarıyor.
Örneğin araştırmacılar, Google Play Store’da bulunan The Pic Stitch: Collage Maker adlı bir uygulamanın kod tabanında, Amazon S3 üretim grubu adı, okuma ve yazma erişim anahtarları ve gizli anahtarlar dahil olmak üzere sabit kodlanmış AWS üretim kimlik bilgileri içerdiğini buldu. . Ayrıca bazı durumlarda aşamalandırma kimlik bilgilerini de ortaya çıkarır.
Ciddi Güvenlik Riskleri İçeren iOS Uygulamaları
Bu arada Symantec tarafından incelenen üç iOS uygulamasının da AWS’yi açığa çıkardığı ortaya çıktı kimlik bilgileri. 3,9 milyondan fazla kullanıcı derecelendirmesine sahip olan ve Apple App Store’da Yiyecek ve İçecek kategorisinde 5. sırada yer alan Crumbl adlı bir tanesi, düz metin kimlik bilgileriyle bir AWSStaticCredentialsProvider’ı başlatıyor. AWS hizmetlerini yapılandırmak için kullanılan kimlik bilgileri hem erişim anahtarını hem de gizli anahtarı içerir.
Ayrıca uygulama, koduna bir WebSocket Secure (WSS) uç noktası ekleyerek başka bir “önemli güvenlik denetimi” de içeriyor. Amazon API URL’sinin bir parçası olan bu uç nokta, AWS’deki Nesnelerin İnterneti hizmetlerine doğrudan bağlanan bir API Ağ Geçidi ile sabit kodlanmıştır.
Mühendisler, “Bu tür URL’lerin statik kimlik bilgileriyle birlikte açığa çıkarılması, saldırganların iletişimi engellemesini veya manipüle etmesini kolaylaştırarak ilgili AWS kaynaklarına yetkisiz erişime yol açabilir” diye yazdı. Bu nedenle, uygun şifreleme veya gizleme olmadan bu savunmasız yapılandırmanın “uygulamanın ve arka uç altyapısının bütünlüğü için ciddi bir risk oluşturduğunu” belirttiler.
Yüzbinlerce App Store derecelendirmesine sahip diğer iki iOS uygulaması da AWS kimlik bilgilerini doğrudan kendi kodlarına kodlayarak açığa çıkarır; uygulamalar Eureka: Anketler için Para Kazanın ve Videoshop – Video Düzenleyicidir.
Mühendisler, ilkinin bir INMAWSCredentials nesnesi tahsis ettiğini ve bunu her ikisi de düz metin olarak depolanan ve olayları AWS’ye kaydetmek için kullanılabilen erişim anahtarı ve gizli anahtarla başlattığını ve “kritik bulut kaynaklarını potansiyel saldırılara maruz bıraktığını” söyledi.
İkincisi, şifrelenmemiş AWS kimlik bilgilerini doğrudan [VSAppDelegate setupS3] Bu, uygulamanın ikili dosyasına erişimi olan herkesin bunları kolayca çıkarabileceği anlamına gelir. Bu, onlara ilgili S3 klasörlerine yetkisiz erişim olanağı verecek ve potansiyel olarak veri hırsızlığına veya manipülasyona yol açacaktır.
Android Uygulamaları Azure Kimlik Bilgilerini Açığa Çıkarıyor
Symantec, benzer şekilde, üç Android uygulamasının kimlik bilgilerinin ikili dosyalar veya kod tabanları aracılığıyla doğrudan Microsoft Azure Blob Depolamaya sunulduğunu buldu.
Google Play’de 5 milyondan fazla indirmeye sahip olan Hint araç paylaşım uygulaması Meru Cabs, bir hesap anahtarı içeren bir bağlantı dizesi yerleştirerek UploadLogs hizmetine sabit kodlu Azure kimlik bilgilerini dahil ediyor. Mühendisler, “Bu bağlantı dizisi, günlük yüklemelerini yönetmek ve kritik bulut depolama kaynaklarını potansiyel kötüye kullanıma maruz bırakmak için kullanılıyor” diye yazdı.
500.000’den fazla indirmeye sahip başka bir Android uygulaması olan Sulekha Business, kod tabanına posta eklemek, faturaları yönetmek ve kullanıcı profillerini depolamak gibi çeşitli amaçlar için kullanılan birden fazla sabit kodlu Azure kimlik bilgisini yerleştirir.
500.000’den fazla indirilen üçüncü bir Android uygulaması olan ReSound Tinnitus Relief, çeşitli varlıkları ve ses dosyalarını yönetmek için Azure Blob Depolama kimlik bilgilerini sabit kodlar ve bunların açığa çıkması yetkisiz erişime ve veri ihlallerine yol açabilir.
Azaltma Uygulama Geliştirmeyle Başlar
Symantec’in bulguları, Datadog tarafından yayınlanan bir raporun yayınlanmasından bir gün sonra geldi. yönetilmeyen kimlik bilgileri bulut tabanlı bir ağda çok uzun süre yaşayanlar, kuruluşların yarısı için güvenlik riski oluşturuyordu. Gerçekten de Symantec’e göre, kimlik bilgilerinin bulut hizmetlerine yanlışlıkla açıklanması, ağ altyapısı, yazılımı veya bunlar üzerinde çalışan diğer varlıklara sahip herhangi bir kuruluşu önemli bir riske maruz bırakıyor.
Bu riskleri azaltmaya başlamak için iyi bir yer, geliştiricilerin hassas bilgilerin yönetimine yönelik en iyi uygulamaları takip etmesi gereken uygulamaların geliştirilmesidir. Symantec’e göre bunlar, hassas kimlik bilgilerini depolamak için ortam değişkenlerinin kullanımını içeriyor, böylece doğrudan uygulamanın koduna gömülmek yerine çalışma zamanında yükleniyorlar.
Geliştiriciler ayrıca kimlik bilgilerini güvenli bir şekilde depolamak ve bunlara erişmek için AWS Secrets Manager veya Azure Key Vault gibi özel gizli dizi yönetimi araçlarını kullanmalıdır. Kimlik bilgilerinin uygulamada saklanması gerekiyorsa, güçlü şifreleme algoritmaları kullandıklarından emin olmalılar ve gerektiğinde çalışma zamanında bunların şifresini çözmelidirler.
Symantec’e göre, kimlik bilgilerini korumanın ve diğer işlemlerden kaçınmanın başka bir yolu potansiyel uygulama geliştirme yanlış adımları ortak güvenlik kusurlarını geliştirme sürecinin erken aşamalarında tespit etmek için otomatik güvenlik tarama araçlarını geliştirme hattına entegre etmektir.