Sabit kodlanmış kimlik bilgileri genellikle kaynak kodunda bulunur ve “düz metin şifrelerin” ve diğer “hassas bilgilerin” doğrudan uygulamalara yerleştirilmesi uygulamasına atıfta bulunur.
Sabit kodlu kimlik bilgilerinin ele geçirilmesi, “aynı varsayılan şifreleri” paylaşan birden fazla sistem ve cihaza yetkisiz erişime izin verebilir ve bu da yaygın güvenlik açıklarına ve olası siber saldırılara yol açabilir.
Symantec’teki siber güvenlik araştırmacıları yakın zamanda popüler uygulamalardaki sabit kodlu kimlik bilgilerinin milyonlarca Android ve iOS kullanıcısını riske attığını keşfetti.
Ulusal Siber Güvenlik Farkındalığı Ayı Siber Zorluklar – Becerilerinizi Şimdi Test Edin
Popüler Uygulamalarda Sabit Kodlanmış Kimlik Bilgileri
Yerleşik sabit kodlu bulut hizmeti kimlik bilgilerine sahip mobil uygulamalar, aşağıdakiler gibi birçok popüler uygulamanın da gösterdiği gibi, günümüzün dijital ekosisteminde kritik bir güvenlik açığını temsil etmektedir: –
- Pic Stitch (5+ milyon indirme)
- Crumbl (3,9+ milyon derecelendirme)
- Eureka: Anketlerden Para Kazanın (402,1K derecelendirme)
- Videoshop – Video Düzenleyici (357,9K derecelendirme)
Yukarıda bahsedilen popüler uygulamalar, “erişim anahtarları” ve “gizli anahtarlar” gibi AWS kimlik bilgilerini doğrudan kaynak kodlarında açığa çıkardı.
.webp)
Bu uygulamalar, “şifrelenmemiş AWS S3 klasör erişim kimlik bilgilerini”, “IoT hizmeti uç noktalarını” (“WebSocket Güvenli URL’leri – “wss://” gibi) ve “kod tabanlarında Microsoft Azure Blob Depolama kimlik doğrulama belirteçlerini” depolayarak güvenli olmayan uygulamalar uyguladı. bu da onları “ikili analiz” ve “kaynak kodu incelemesi” yoluyla istismara açık hale getiriyor.
Örneğin, Pic Stitch’in “loadAmazonCredential()” yöntemi ve Crumbl’ın “AWSStaticCredentialsProvider” uygulaması, arka uç hizmetlerine yetkisiz erişim sağlayabilecek üretim düzeyindeki kimlik bilgilerini açığa çıkarırken, Eureka’nın düz metin kimlik bilgileriyle “INMAWSCredentials” nesnesi başlatması da benzer güvenlik gözetimlerini ortaya çıkardı.
Bulut kimlik bilgilerinin şifreleme ve uygun güvenlik önlemleri olmaksızın sabit kodlanması şeklindeki bu yaygın uygulama, milyonlarca kullanıcının verilerini “hırsızlık”, “manipülasyon” ve “yetkisiz erişim” riskiyle karşı karşıya bırakıyor.
Bu durum ‘Google Play Store’ ve ‘Apple App Store’ platformlarında hem “kullanıcı gizliliğini” hem de “uygulama altyapısı” bütünlüğünü etkileyen ciddi güvenlik ihlallerine yol açmaktadır.
Kritik güvenlik açıkları, “Microsoft Azure Blob Storage” kimlik bilgilerinin sabit kodlama uygulamaları yoluyla yanlış kullanılmasıyla ilgilidir.
Araştırma, “Meru Cabs” (5 milyondan fazla indirme), “Sulekha Business” (500.000’den fazla indirme) ve “ReSound Tinnitus Relief” (500.000’den fazla indirme) gibi popüler uygulamaların “şifrelenmemiş bağlantı dizeleri” ve “hesap anahtarları” içerdiğini ortaya çıkardı. önemli güvenlik açıkları yaratarak doğrudan uygulama ikili dosyaları ve kaynak kodları içinde.
.webp)
“Meru Cabs” durumunda, “UploadLogs hizmeti” düz metin Azure kimlik bilgilerini içerirken “Sulekha Business”, “oluşturma sonrası”, “fatura işleme” ve “oluşturma sonrası” gibi çeşitli işlevleri yönetmek için kod tabanında birden fazla sabit kodlu Azure bağlantı dizesi uyguladı. kullanıcı profili depolaması.”
Benzer şekilde, “ReSound Tinnitus Relief”, “ses varlıklarını” ve “ses dosyalarını” yönetmek için kullanılan “Azure Blob Storage” kimlik bilgilerini açığa çıkardı.
Şifrelenmemiş bulut hizmeti kimlik bilgilerinin yerleştirilmesine yönelik bu yaygın uygulama, bu uygulamaların “ikili dosyalarına” veya “kaynak koduna” erişim sağlayan kötü niyetli aktörlerin bu kimlik bilgilerini çıkarabilmesi nedeniyle ciddi güvenlik sonuçları doğurmaktadır.
Bu noktada “hassas bulut depolama kaynaklarına” “yetkisiz erişime”, “veri ihlallerine” ve “arka uç altyapısının tehlikeye atılmasına” yol açmaktadır.
Güvenlik açığı modeli hem “iOS” hem de “Android” platformlarını kapsıyor ve geliştiricilerin “güvenli kimlik bilgisi yönetimi sistemleri” uygulamak yerine bulut hizmeti kimlik doğrulama bilgilerini sabit kodlayarak güvenliği tehlikeye attığı mobil uygulama geliştirme uygulamalarında sistemik bir sorunu vurguluyor.
Azaltmalar
Aşağıda tüm azaltımlardan bahsettik: –
- Ortam Değişkenlerini Kullan
- Gizli Dizi Yönetimini Uygulayın
- Hassas Verileri Şifreleyin
- Kod İncelemeleri ve Denetimleri
- Güvenlik Taramasını Otomatikleştirin
- Yazılımı güncel tutun
- Bilinmeyen kaynaklardan uygulama indirmeyin
- Uygun bir güvenlik uygulaması yükleyin
- Uygulamaların istediği izinlere her zaman çok dikkat edin
- Önemli verilerinizi sık sık yedeklediğinizden emin olun
Free Webinar on How to Protect Small Businesses Against Advanced Cyberthreats -> Watch Here