Οι ερευνητές ασφαλείας κρούουν τον συναγερμό στους προγραμματιστές εφαρμογών για κινητά που βασίζονται σε ανασφαλείς πρακτικές που εκθέτουν τα διαπιστευτήρια των Υπηρεσιών Ιστού της Amazon (AWS), καθιστώντας την αλυσίδα εφοδιασμού ευάλωτη.
Οι κακόβουλοι παράγοντες θα μπορούσαν να το εκμεταλλευτούν για να αποκτήσουν πρόσβαση σε ιδιωτικές βάσεις δεδομένων, οδηγώντας σε παραβιάσεις δεδομένων και στην έκθεση των προσωπικών δεδομένων των πελατών.
Κλίμακα του προβλήματος
Ερευνητές στην ομάδα Threat Hunting της Symantec, μέρος της Broadcom Software, βρήκαν 1.859 εφαρμογές που περιείχαν σκληρά κωδικοποιημένα διαπιστευτήρια AWS, οι περισσότερες από αυτές ήταν εφαρμογές iOS και μόλις 37 για Android.
Περίπου το 77% αυτών των εφαρμογών περιείχαν έγκυρα διακριτικά πρόσβασης AWS που θα μπορούσαν να χρησιμοποιηθούν για άμεση πρόσβαση σε ιδιωτικές υπηρεσίες cloud.
Επιπλέον, 874 εφαρμογές περιείχαν έγκυρα διακριτικά AWS που μπορούν να χρησιμοποιήσουν οι χάκερ για την πρόσβαση σε παρουσίες cloud που περιέχουν βάσεις δεδομένων ζωντανών υπηρεσιών που κατέχουν εκατομμύρια εγγραφές.
Αυτές οι βάσεις δεδομένων συνήθως περιέχουν στοιχεία λογαριασμού χρήστη, αρχεία καταγραφής, εσωτερική επικοινωνία, πληροφορίες εγγραφής και άλλα ευαίσθητα δεδομένα, ανάλογα με τον τύπο της εφαρμογής.