iOS ve Android’e yönelik çok sayıda popüler mobil uygulama, Amazon Web Services (AWS) ve Microsoft Azure Blob Storage gibi bulut hizmetleri için sabit kodlanmış, şifrelenmemiş kimlik bilgileriyle birlikte gelir ve kullanıcı verilerini ve kaynak kodunu güvenlik ihlallerine maruz bırakır.
Bu tür kimlik bilgilerinin açığa çıkması, hassas kullanıcı verilerinin bulunduğu depolama paketlerine ve veritabanlarına kolayca yetkisiz erişime yol açabilir. Bunun dışında bir saldırgan bunları verileri işlemek veya çalmak için kullanabilir.
Broadcom şirketi Symantec’in raporuna göre bu anahtarlar, geliştirme aşamasındaki hatalar ve kötü uygulamalar nedeniyle uygulamaların kod tabanlarında mevcut.
Symantec şöyle açıklıyor: “Son analizler sorunlu bir eğilimi ortaya çıkardı: Yaygın olarak kullanılan birçok uygulamanın kod tabanlarında sabit kodlanmış ve şifrelenmemiş bulut hizmeti kimlik bilgileri içerdiği tespit edildi.”
Araştırmacılar, “Bu tehlikeli uygulama, uygulamanın ikili dosyasına veya kaynak koduna erişimi olan herhangi birinin potansiyel olarak bu kimlik bilgilerini çıkarabileceği ve verileri manipüle etmek veya sızdırmak için bunları kötüye kullanabileceği ve bunun da ciddi güvenlik ihlallerine yol açabileceği anlamına geliyor” dedi.
Symantec, araştırmacılarının Google Play’deki aşağıdaki uygulamalarda bulut hizmetlerine ilişkin kimlik bilgilerini bulduğunu söylüyor:
- Resim Dikişi – 5 milyonun üzerinde indirme – Amazon sabit kodlu kimlik bilgileri
- Meru Kabinleri – 5 milyondan fazla indirme – Microsoft Azure Blob Storage sabit kodlu kimlik bilgileri
- Sulekha İşletmeleris – 500.000’den fazla indirme – Microsoft Azure Blob Storage sabit kodlu kimlik bilgileri
- ReSound Tinnitus Rahatlaması – 500.000’den fazla indirme – Microsoft Azure Blob Storage sabit kodlu kimlik bilgileri
- Sağlık – 100.000’den fazla indirme – Microsoft Azure Blob Storage sabit kodlu kimlik bilgileri
- Chola Bayan İçeri Giriyor – 100.000’den fazla indirme – Microsoft Azure Blob Storage sabit kodlu kimlik bilgileri
- EatSleepRIDE Motosiklet GPS’i – 100.000’den fazla indirme – Twilio’nun sabit kodlanmış kimlik bilgileri
- Beltone Tinnitus Sakinleştirici – 100.000’den fazla indirme – Microsoft Azure Blob Storage sabit kodlu kimlik bilgileri
Kaynak: Symantec
Ayrıca Apple’ın App Store’unda listelenen birçok popüler uygulamadaki kimlik bilgilerini de keşfettiler:
- Kırıntı – 3,9 milyondan fazla derecelendirme – Amazon’un sabit kodlu kimlik bilgileri
- Evreka: Anketler için para kazanın – 402,1K+ derecelendirme – Amazon sabit kodlu kimlik bilgileri
- Videoshop – Video Düzenleyici – 357,9K+ derecelendirme – Amazon sabit kodlu kimlik bilgileri
- Solitaire Clash: Gerçek Para Kazanın – 244,8K+ derecelendirme – Amazon’un sabit kodlu kimlik bilgileri
- Zap Anketleri – Kolay Para Kazanın – 235.000+ derecelendirme – Amazon sabit kodlu kimlik bilgileri
Kaynak: Symantec
App Store indirme sayısını bildirmese de bu sayı genellikle listelenen derecelendirme miktarından çok daha yüksektir.
Google’ın, uygulamanın ömrü boyunca toplam indirme sayısını Play Store’da görüntülediğini ve etkin yüklemeleri yansıtmadığını belirtmekte fayda var.
Yukarıdaki uygulamalardan herhangi birinin telefonunuzda bulunması, kişisel verilerinizin çalındığı anlamına gelmez, ancak bu verilere erişilebilir olduğu ve geliştiriciler harekete geçip riski ortadan kaldırmadığı sürece bilgisayar korsanlarının bu verileri sızdırabileceği anlamına gelir.
Eylül 2022’de Symantec, araştırmacılarının AWS kimlik bilgilerini içeren 1.800’den fazla iOS ve Android uygulaması bulduğunu ve uygulamaların %77’sinin kod tabanında geçerli erişim belirteçlerine sahip olduğunu vurgulayarak bu riskle ilgili alarma geçti.
Araştırmacılar, geliştiricilere mobil uygulamalardaki hassas bilgilerin korunmasına yönelik en iyi uygulamaları takip etmelerini öneriyor.
Bu, kimlik bilgilerini depolamak için ortam değişkenlerini kullanmayı, sır yönetimi araçlarını kullanmayı (örneğin, AWS Secrets Manager, Azure Key Vault), verileri şifrelemeyi, düzenli kod incelemelerini ve denetimlerini ve hassas verileri veya güvenlik sorunlarını tespit etmek için otomatik güvenlik taramasını geliştirme sürecinin erken aşamalarında entegre etmeyi içerir. .