Início Últimas notícias Cibersegurança

Falhas críticas

Credenciais AWS e Azure expostas no Android e iOS

Chaves de autenticação da AWS e Azure foram encontradas em aplicativos populares de Android e iOS, expondo dados dos usuários. Relatório da Symantec alerta sobre falhas de segurança no código desses apps.

Jardeson Márcio

nova-operacao-de-criptojacking-da-ambersquid-mira-em-servicos-incomuns-da-aws

Milhões de usuários de aplicativos Android e iOS estão em risco devido à exposição de chaves de autenticação para serviços de nuvem, como Amazon Web Services (AWS) e Microsoft Azure Blob Storage, em suas bases de código. A descoberta, relatada pela Symantec, destaca a presença de credenciais não criptografadas e codificadas diretamente no código-fonte de vários aplicativos móveis.

Credenciais AWS e Azure expostas

Essas chaves, quando expostas, podem permitir que invasores acessem buckets de armazenamento e bancos de dados, comprometendo informações sensíveis dos usuários. Além disso, esses invasores podem manipular ou roubar dados sem dificuldade, caso obtenham essas credenciais.

De acordo com a Symantec, essas falhas de segurança são resultado de más práticas de desenvolvimento de software, onde credenciais são incluídas no código-fonte por erro. Embora essa vulnerabilidade afete uma ampla gama de aplicativos, a segurança dos dados dos usuários depende diretamente da capacidade dos desenvolvedores de corrigirem o problema.

Aplicativos afetados na Google Play Store:

  • Pic Stitch: mais de 5 milhões de downloads, com credenciais da Amazon codificadas.
  • Meru Cabs: mais de 5 milhões de downloads, com credenciais do Microsoft Azure Blob Storage.
  • Sulekha Business: mais de 500 mil downloads, também com credenciais do Microsoft Azure Blob Storage.
  • ReSound Tinnitus Relief: mais de 500 mil downloads, credenciais expostas do Microsoft Azure Blob Storage.
  • Saludsa: mais de 100 mil downloads, credenciais do Microsoft Azure Blob Storage.
  • Chola Ms Break In: mais de 100 mil downloads, mesma vulnerabilidade com credenciais do Microsoft Azure Blob Storage.
  • EatSleepRIDE Motorcycle GPS: mais de 100 mil downloads, credenciais codificadas pelo Twilio.
  • Beltone Tinnitus Calmer: mais de 100 mil downloads, credenciais do Microsoft Azure Blob Storage.

Notícias Relacionadas

Aplicativos afetados na Apple App Store:

  • Crumbl: 3,9 milhões de avaliações, com chaves da AWS expostas.
  • Eureka – Ganhe Dinheiro com Pesquisas: 402,1 mil avaliações, com credenciais da AWS codificadas.
  • Videoshop – Editor de Vídeo: 357,9 mil avaliações, também com credenciais da AWS codificadas.
  • Solitaire Clash – Ganhe Dinheiro Real: 244,8 mil avaliações, vulnerável com credenciais da AWS.
  • Zap Surveys – Ganhe Dinheiro Fácil: mais de 235 mil avaliações, com credenciais da AWS não protegidas.
Credenciais da AWS na base de código do Crumbl
Credenciais da AWS na base de código do Crumbl Imagem: Symantec

Embora a presença desses aplicativos no seu dispositivo não indique necessariamente um roubo de dados, a exposição dessas credenciais é alarmante e pode ser explorada, a menos que os desenvolvedores tomem medidas imediatas.

Melhores práticas para proteger credenciais de aplicativos móveis

Para mitigar esses riscos, a Symantec recomenda que os desenvolvedores utilizem variáveis de ambiente para armazenar credenciais, além de ferramentas como o AWS Secrets Manager e o Azure Key Vault para gerenciamento seguro de segredos. A criptografia de dados sensíveis e a adoção de revisões e auditorias de código regulares são cruciais. Também é vital integrar verificações de segurança automatizadas durante o desenvolvimento para identificar possíveis vulnerabilidades.

Essa descoberta destaca a importância de boas práticas de segurança no desenvolvimento de aplicativos móveis, reforçando a necessidade de uma abordagem mais rigorosa e segura na manipulação de dados confidenciais.

Assuntos

Mais Notícias

Mais artigos
Imagem de hacker

Estratégias para evitar falsos alarmes

Como reduzir falsos positivos em cibersegurança: Lições essenciais para empresas

Os falsos positivos são mais do que um incômodo; eles podem prejudicar a produtividade, aumentar os custos operacionais e até comprometer a segurança de empresas. Neste cenário, as recomendações de Tonimar Dal Aba, gerente técnico da ManageEngine, oferecem insights valiosos para minimizar essas ocorrências e aprimorar o desempenho das equipes de segurança. Por que combater […]
Tribunal britânico rejeita o pedido dos EUA de extraditar Julian Assange

Segurança essencial

A urgência das agências dos EUA em migrar para linguagens de programação seguras

As principais agências governamentais dos Estados Unidos, como a Cybersecurity and Infrastructure Security Agency (CISA) e o Federal Bureau of Investigation (FBI), vêm intensificando esforços para que a indústria de software abandone linguagens de programação consideradas inseguras, como C e C++. Essa mudança visa enfrentar uma das maiores causas de vulnerabilidades na segurança cibernética: a […]
Interface completa do GitHub para campanhas de segurança de injeção de SQL (CWE-89). A tela mostra o progresso da campanha, os detalhes dos alertas críticos detectados por ferramentas como CodeQL e MyTool, e uma lista de vulnerabilidades abertas e fechadas com informações específicas sobre a localização e a gravidade de cada alerta.

Segurança digital

Campanhas de segurança no GitHub: Copilot Autofix ajuda a corrigir vulnerabilidades críticas

O GitHub lançou o preview público das campanhas de segurança do Copilot Autofix, uma ferramenta avançada para usuários do GitHub Advanced Security. Este recurso tem como foco a redução de vulnerabilidades acumuladas em aplicações ao longo do tempo. Através do Copilot Autofix, os desenvolvedores agora contam com explicações detalhadas e sugestões de correções para até […]