Pesquisadores de segurança alertam sobre os desenvolvedores de aplicativos móveis que confiam em práticas inseguras que expõem as credenciais da Amazon Web Services (AWS), tornando a cadeia de suprimentos vulnerável. Atores maliciosos podem aproveitar isso para acessar bancos de dados privados, levando a violações de dados e à exposição de dados pessoais dos clientes.
O alerta vem de pesquisadores da equipe de Threat Hunting da Symantec, parte da Broadcom Software, que encontraram 1.859 aplicativos contendo credenciais da AWS codificadas, a maioria deles sendo aplicativos iOS e apenas 37 para Android.
Aplicativos iOS expõem credenciais do Amazon Web Services (AWS)
Aproximadamente 77% dos aplicativos descobertos continham tokens de acesso válidos da AWS que poderiam ser usados ??para acesso direto a serviços de nuvem privada. Além disso, 874 aplicativos continham tokens válidos da AWS que os hackers podem usar para acessar instâncias de nuvem contendo bancos de dados de serviço ao vivo que contêm milhões de registros.
Esses bancos de dados geralmente contêm detalhes da conta do usuário, logs, comunicação interna, informações de registro e outros dados confidenciais, dependendo do tipo de aplicativo.
Os analistas de ameaças destacam três casos notáveis ??em seu relatório em que os tokens da AWS expostos podem ter consequências catastróficas para autores e usuários dos aplicativos vulneráveis. Um exemplo é uma empresa business-to-business (B2B) que fornece serviços de intranet e comunicação para mais de 15.000 empresas de médio a grande porte.
O kit de desenvolvimento de software (SDK) que a empresa forneceu aos clientes para acessar seus serviços contém chaves da AWS, expondo todos os dados privados dos clientes armazenados na plataforma.
Outro caso é um SDK de autenticação e identidade digital de terceiros usado por vários aplicativos bancários no iOS que incluíam credenciais de nuvem válidas. Devido a isso, todos os dados de autenticação de todos os clientes desses bancos, incluindo nomes, datas de nascimento e até digitalizações biométricas de impressões digitais, foram expostos na nuvem.
Por fim, a Symantec encontrou uma plataforma de tecnologia de apostas esportivas usada por 16 aplicativos de jogos de azar online, que expunha toda a sua infraestrutura e serviços em nuvem com permissões de leitura/gravação em nível de administrador.
O problema
O problema com credenciais de serviço de nuvem codificadas e “esquecidas” é basicamente um problema da cadeia de suprimentos, pois a negligência de um desenvolvedor de SDK pode afetar toda uma coleção de aplicativos e serviços que dependem dele.
O desenvolvimento de aplicativos móveis depende de componentes prontos em vez de criar tudo do zero, portanto, se os editores de aplicativos não executarem uma verificação completa nos SDKs ou bibliotecas que usam, é provável que um risco de segurança se propague em seu projeto.