Son analizler, mobil uygulama güvenliğinde endişe verici bir eğilimi ortaya çıkardı: Birçok popüler uygulama, sabit kodlanmış ve şifrelenmemiş bulut hizmeti kimlik bilgilerini doğrudan kod tabanlarında saklıyor.
Uygulamanın ikili koduna veya kaynak koduna erişen herhangi biri, verileri manipüle etmek veya sızdırmak için bu kimlik bilgilerini alıp kötüye kullanabileceği için önemli bir güvenlik riski oluşturur.
Örnekler arasında Pic Stitch, Android’deki Collage Maker uygulaması ve Crumbl, Eureka ve Videoshop gibi çeşitli popüler iOS uygulamaları yer alır.
Bu uygulamalar, geliştiricilerin kullanıcı verilerini ve arka uç hizmetlerini korumak için daha güvenli kimlik bilgisi yönetimi uygulamalarını benimseme ihtiyacını vurgulayan yerleşik AWS kimlik bilgilerini içerir.
Protecting Your Networks & Endpoints With UnderDefense MDR – Request Free Demo
Hem Crumbl hem de Eureka mobil uygulamalarının, Crumbl’ın kodunun AWS hizmetlerini yapılandırmak için kullanılan sabit kodlu, düz metin AWS kimlik bilgilerine (erişim anahtarı ve gizli anahtar) sahip bir AWSStaticCredentialsProvider’ı başlattığı ve onları açıkta bıraktığı güvenlik açıkları içerdiği tespit edildi.
Saldırganların yararlanabileceği bir WSS uç nokta URL’si doğrudan kodun içine dahil edilmiştir. Benzer şekilde, Eureka uygulaması, olayları AWS’ye kaydetmek için AWS kimlik bilgilerini koduna sabit kodlayarak kritik bulut kaynaklarını açığa çıkarır.
Videoshop ve diğer mobil uygulamalar, şifrelenmemiş AWS ve Azure kimlik bilgilerini doğrudan kodlarına yerleştirerek bunları uygulamanın ikili dosyasından çıkarabilecek saldırganların eline bırakıyor.
Sabit kodlanmış kimlik bilgileri, bulut depolama paketlerine yetkisiz erişime, veri hırsızlığına ve hizmet kesintilerine yol açarak önemli bir güvenlik riski oluşturabilir. Kimlik bilgilerinin şifrelenmesi veya güvenli bir şekilde saklanması bunu önleyebilir.
Sulekha Business ve ReSound Tinnitus Relief uygulamaları, kod tabanlarında Azure Blob Depolamaya erişim için kullanılan ve düz metin olarak açığa çıkan sabit kodlanmış Azure kimlik bilgileri içerir ve önemli bir güvenlik riski oluşturur.
Bu kimlik bilgilerinin ifşa edilmesi, yetkisiz erişime ve veri ihlallerine yol açabilir; bu da kullanıcı verilerini ve arka uç sorumluluklarını potansiyel olarak etkileyebilir.
Bu güvenli olmayan kimlik bilgisi yönetimi modeli, geliştiricilerin, hassas kimlik bilgilerini depolamak için ortam değişkenleri veya sır yönetimi çözümleri kullanmak gibi daha güvenli uygulamaları benimsemelerinin acil ihtiyacını vurgulamaktadır.
Mobil uygulamalardaki sabit kodlanmış ve şifrelenmemiş bulut hizmeti kimlik bilgileri, ciddi güvenlik riskleri oluşturur; kritik altyapıyı hem iOS hem de Android platformlarında yaygın olan potansiyel saldırılara maruz bırakır ve daha güvenli geliştirme uygulamalarına doğru bir geçişi gerektirir.
Bu riskleri azaltmak için geliştiriciler ortam değişkenlerini kullanmalı, sır yönetimi araçlarını uygulamalı, hassas verileri şifrelemeli, düzenli kod incelemeleri ve denetimleri gerçekleştirmeli ve güvenlik taramasını otomatikleştirmelidir.
Symantec’e göre geliştiriciler, hassas bilgilerin ifşa edilmesi riskini önemli ölçüde azaltmak ve mobil uygulamalarının güvenliğini sağlamak için bu en iyi uygulamaları benimseyebilir.
Run private, Real-time Malware Analysis in both Windows & Linux VMs. Get a 14-day free trial with ANY.RUN!