Symantec’in popüler uygulamaların sabit kodlanmış, şifrelenmemiş bulut anahtarları içerdiğini keşfetmesinin ardından milyonlarca iOS ve Android kullanıcısı risk altında. Bu güvenlik kusuru yetkisiz erişime, veri ihlallerine ve hizmet kesintilerine yol açabilir.
Symantec’teki siber güvenlik uzmanları tarafından yürütülen araştırma, hem Android hem de iOS platformlarındaki popüler uygulamaların sabit kodlanmış, şifrelenmemiş bulut hizmeti kimlik bilgileri içerdiğini ve bu durumun milyonlarca kullanıcının hassas verilerini ve arka uç hizmetlerini yetkisiz erişim ve olası veri ihlalleri riskiyle karşı karşıya bıraktığını ortaya çıkardı.
Sorun, geliştiricilerin güvenli depolama yöntemleri kullanmak yerine erişimi ve gizli anahtarları doğrudan uygulamanın koduna yerleştirmesinden kaynaklanıyor. Bu, saldırganların hassas verilere erişmesini, kullanıcı bilgilerini çalmasını veya hizmetleri kesintiye uğratmasını kolaylaştırır.
Etkilenen Android uygulamaları arasında 5 milyondan fazla indirilen Pic Stitch: Collage Maker ve her biri yüzbinlerce indirilen Meru Cabs, Sulekha Business ve ReSound Tinnitus Relief uygulamalarının sırasıyla sabit kodlu AWS ve Azure kimlik bilgileri içerdiği tespit edildi. Bu kimlik bilgileri, kritik bulut depolama alanına ve diğer arka uç hizmetlerine erişim sağlar.
iOS tarafında, Crumbl (3,9 milyondan fazla derecelendirme), Eureka: Earn Money for Surveys (402,1K derecelendirme) ve Videoshop – Video Editor (357,9K derecelendirme) gibi popüler uygulamaların da erişim anahtarları da dahil olmak üzere sabit kodlanmış AWS kimlik bilgilerine sahip olduğu tespit edildi. ve hatta WebSocket Secure (WSS) uç noktaları, olası saldırıları daha da basitleştirir.
iOS ve Android’de etkilenen uygulamaların tam listesi
- Crumbl (3,9 milyondan fazla derecelendirme)
- Meru Cabs (5 milyondan fazla indirme)
- Sulekha Business (500.000’den fazla indirme)
- Videoshop – Video Düzenleyici (357.000’den fazla derecelendirme)
- ReSound Tinnitus Relief (500.000’den fazla indirme)
- Pic Stitch: Collage Maker (5 milyondan fazla indirme)
- Eureka: Anketlerden Para Kazanın (402.000’den fazla derecelendirme)
Hem Android hem de iOS’ta bulunan bu sorun ciddi bir endişe kaynağıdır. Bireysel veri ihlallerinden büyük hizmet kesintilerine kadar her şeye yol açabilir. Symantec’in bulguları, geliştiricilerin en iyi güvenlik uygulamalarını takip etmelerinin acil bir ihtiyaç olduğunu gösteriyor.
Bu riskleri azaltmak için geliştiricilerin, uygulamalarında hassas bilgileri yönetmeye yönelik en iyi uygulamaları takip etmeleri önerilir. Bunlar arasında ortam değişkenlerinin kullanılması, sır yönetiminin uygulanması, hassas verilerin şifrelenmesi, düzenli kod incelemeleri ve denetimlerinin gerçekleştirilmesi ve güvenlik taramasının otomatikleştirilmesi yer alır.
“Birden fazla uygulama genelinde tekrarlanan bu güvensiz kimlik bilgisi yönetimi modeli, geliştiricilerin mobil uygulama geliştirme yaşam döngüsünde güvenliğe öncelik verme konusundaki kritik ihtiyacının altını çiziyor.” söz konusu bir Symantec sözcüsü.
Symantec, kullanıcılar için yüklemeyi önerir saygın güvenlik yazılımıuygulamaları yalnızca güvenilir kaynaklardan indirmek, yazılımı güncel tutmak, uygulama izinlerini dikkatle incelemek ve önemli verileri düzenli olarak yedeklemek. Bu önlemler, geliştiriciler bu kritik güvenlik açıklarını gidermeye çalışırken, güvenli olmayan uygulamalarla ilişkili risklerin azaltılmasına yardımcı olabilir.
İLGİLİ KONULAR
- Google, Android, iOS ve Chrome’a yönelik casus yazılım saldırısını ortaya koyuyor
- Çalışma: Android, Google’a iOS’un Apple’a gönderdiğinden daha fazla veri gönderiyor
- Bluetooth Falw, Android ve iOS’ta Tuş Vuruşu Enjeksiyonunu Etkinleştiriyor
- WiFi Kusurları iOS ve Android’de Ağ Trafiğinin Kesilmesine İzin Veriyor
- Instagram iOS, Android uygulama kusuru, bilgisayar korsanlarının hesap erişimine izin verdi