herhangi biriyle olduğu gibi Bir yazılım parçası olan mobil uygulamalar, kasıtlı olarak kötü amaçlı olan hileli programlardan belirsiz ancak önemli bir kusur içeren uygulamalara kadar bir dizi güvenlik sorunu ve teşhiri oluşturabilir. Şimdi, yeni araştırma, mobil uygulama bulut altyapısında çok yaygın olan ve kullanıcıların verilerinin olmaması gereken yerlere sızması veya tehlikeye atılmaması riski oluşturan sistemsel gözetimlere ışık tutuyor.
Broadcom’un Symantec Threat Hunter ekibinden araştırmacılar, yüzlerce ana uygulamanın temelini oluşturan bulut hizmetlerinde gizlenen sabit kodlu kimlik doğrulama bilgilerinin yaygınlığı hakkında Perşembe günü bulgular yayınladı. Bu oturum açma kimlik bilgileri, genellikle, bir uygulamanın bir şirketin web sitesindeki genel görüntüleri görüntülemesi veya bir kullanıcının isteği üzerine bir çeviri hizmeti aracılığıyla metin çalıştırması için bir mekanizma gibi, uygulamaya tek bir dosyaya veya hizmete erişim izni vermek içindir. Ancak pratikte araştırmacılar, bu aynı kimlik bilgilerinin genellikle şirket verileri, veritabanı yedekleri ve sistem kontrol bileşenleri gibi bir bulut hizmetinde depolanan tüm dosyalara erişim sağladığını buldu. Ve aynı üçüncü taraf geliştirme firması tarafından birden fazla uygulama oluşturulduğunda veya aynı genel kullanıma açık yazılım geliştirme kitlerini (SDK’lar) içerdiğinde, bu statik kimlik doğrulama belirteçleri, birden çok, bağlantısız uygulamanın altyapısına ve kullanıcı verilerine erişim bile verebilir.
Tüm bunlar, bir saldırganın bu erişim belirteçlerini keşfetmesi durumunda, tek bir paspas altında tek bir anahtar bularak potansiyel olarak büyük ve birbirinden farklı hassas veri hazinelerinin kilidini açabileceği anlamına gelir.
“Bulut hala yeni bir sınır. Ve bazen, kullanılan uygulamaları duyduğunuzda, diğer cephelerde güvenlikle birlikte birçok kuruluşun bulundukları yerde olmayabileceğini fark ediyorsunuz” diyor Symantec’ten Dick O’Brien. “Köşeyi insanlar mı yoksa sadece bu kimlik bilgilerini ortaya koyarak neleri açığa vurduğunuza dair bir cehalet mi olduğunu söylemek zor, ancak verilerin olması gerektiği gibi herhangi bir yerde çitle çevrili olmadığı kesinlikle açık. “
Araştırmacılar, sabit kodlanmış Amazon Web Hizmetleri kimlik bilgilerini içeren hem Android hem de iOS üzerinde halka açık 1.859 uygulama buldu. Büyük çoğunluğu iOS uygulamalarıydı, Symantec’in yıllardır izlediğini ancak tam olarak açıklamadığını söylediği bir tutarsızlık. Uygulamaların dörtte üçünden fazlasında bulunan kimlik bilgileri, özel bulut hizmetlerine erişim sağladı ve bunların yaklaşık yarısı ek olarak özel dosyalara erişim sağladı. Uygulamaların yüzde elli üçü, genellikle tamamen alakasız diğer uygulamalarda da bulunan erişim belirteçleri içeriyordu.
O’Brien, “Başlangıçta çok şaşırtıcıydı, ancak bu sistematik bir şey” diyor. “İnsanların ne kullandıklarını tam olarak denetlemesi ve orada birden fazla katman olduğunu anlaması gerekiyor. Sabit kodlanmış erişim anahtarlarını uygulama pratiği pek iyi değildir. Kısa bir süre sonra sona eren geçici kimlik bilgileri muhtemelen gidilecek yoldur ve ayrıca bilgileri silo etmeniz gerektiğine dair daha fazla farkındalık olması gerekir.”
Symantec, en acil sorunları gördüğü uygulama geliştiricilerini bilgilendirdiğini ve güvenli olmayan geliştirme uygulamalarının ve paylaşılan kaynakların dikkatli bir değerlendirme ve segmentasyon olmadan nasıl riskler yaratabileceği konusunda farkındalık yaratmayı umduğunu söyledi.
Bir durumda, araştırmacılar, birçok ana iOS bankacılık uygulamasının, paylaşılan hizmetin bulut kimlik bilgilerini açığa çıkaran aynı üçüncü taraf AI dijital kimlik yazılımı geliştirme kitini kullandığını fark etti. Bankacılık uygulamalarının hiçbiri SDK’yı oluşturmazken, kimlik bilgileri sunucu yapısını ve altyapı planlarını, kaynak kodunu ve kimlik hizmetinin altında yatan AI modellerini ortaya çıkardı. Ve beş mobil bankacılık uygulamasının kullanıcılarından gelen 300.000’den fazla biyometrik parmak izi dosyası sızdırıldı ve potansiyel olarak ifşa edildi.
Başka bir durumda, araştırmacılar, spor bahisleri uygulamalarında bir teknoloji şirketi ile çalışan büyük bir ağırlama ve eğlence şirketi olarak adlandırdıkları şeyi fark ettiler. Toplamda, sabit kodlanmış kimlik bilgileri, 16 çevrimiçi kumar uygulamasına altyapı erişimi sağladı, bulut hizmetlerini açığa çıkardı ve hatta bu arka uç platformunun kontrolünü ele geçirmek için kök erişimi sağladı.
Symantec’ten O’Brien, şirketin etkilenen uygulamaları adlandırmamasına rağmen, bulguların bu yaygın tuzaklar ve kullanıcılar üzerindeki potansiyel olarak büyük etkileri hakkında farkındalık yaratmasını umduğunu vurguluyor. “Bulduğumuz şeyler – burada uğraştığımız şeyin önemini gösteriyor” diyor.