1800'den Fazla Android Ve iOS Uygulaması Sabit Kodlanmış AWS Kimlik Bilgilerini Sızdırıyor

Symantec'teki siber güvenlik araştırmacıları kısa süre önce zayıf güvenlik uygulamalarıyla ilgili riskler konusunda uyardılar ve 1.800'den fazla Android ve iOS uygulamasında AWS için kodlanmış kimlik bilgileri bulduklarını belirttiler.

iOS ve Android için geliştirilen kodlanmış kimlik bilgilerinden oluşan uygulamaların neredeyse tamamı Symantec'in tehdit avı ekibi tarafından incelenmiştir.

Aynı AWS belirteçlerinin varlığı, uygulamaların %50'sinden fazlasında bulundu. Çeşitli geliştiriciler ve şirketler bu belirteçleri uygulamalarında da kullandılar. Bu raporun bir sonucu olarak tedarik zinciri için ciddi sonuçlar doğurmaktadır.

AWS erişim belirteçlerine kadar izlenebilecek birkaç şey olmuştur, örneğin:

• Paylaşımlı kütüphane (library)
• Üçüncü taraf SDK'sı
• Uygulamalar diğer bileşenler kullanılarak geliştirilir

Tedarik Zinciri Riski

Bir mobil uygulama yazılımı geliştirme süreci, malzeme mallarının üretimi ve dağıtımı için bir tedarik zincirininkine benzer ve aşağıdakileri içerir:

• Koleksiyon yazılım kitaplıkları
• Yazılım geliştirme kitleri (SDK'lar)
• Mobil uygulamaları geliştirme

Mobil uygulamalar şu yukarı akış tedarik zinciri sorunlarına karşı savunmasız hale gelebilir:

• Mobil uygulama geliştiricilerinin, uygulamalarının kaynak kitaplıklarının ve SDK'larının güvenlik açığından etkilendiğinin farkında olmadığı birçok örnek vardır.
• Mobil uygulama geliştirmenin dış kaynak kullanımındaki risk, şirketlerin uygulamalarda kendilerini risklere maruz bırakabilecek güvenlik açıklarıyla sonuçlanmasıdır.
• Çoğu şirkette, özellikle de daha büyük şirketlerde, birden fazla ekip tarafından geliştirilen birden fazla uygulama vardır ve bu uygulamalar ekipler arası savunmasız kitaplıklar kullanır.

Teknik Analiz

Çoğu durumda, bu tür kimlik bilgileri, uygulamanın düzgün çalışması için gerekli kaynakları indirmek için kullanılır. Bununla birlikte, bulut hizmetlerinde kimlik doğrulamaya ve yapılandırma dosyalarına erişime de izin verir.

Symantec'in keşfettiği olaylar arasında en dikkat çekenlerden biri, mobil SDK ile birlikte müşterilerine intranet ve iletişim platformu sunan isimsiz bir B2B şirketiydi.

Bu örnekte, şirketin bulut altyapısı anahtarları, bulut altyapısındaki çeviri hizmetine erişim için SDK'ya gömülmüştü.

Bunun sonucunda şirketin tüm müşteri bilgileri kamuoyuna açıklandı. Veritabanına 15.000'den fazla orta ve büyük ölçekli şirket dahil edildi. Veri tabanı, kurumsal verilerini ve finansal kayıtlarını kapsıyordu.

Dahası, araştırmacılar aynı AI Dijital Kimlik SDK'sını kullanan beş iOS bankacılık uygulaması da keşfettiler. Sonuç olarak, 300.000'den fazla parmak izi etkili bir şekilde sızdırıldı.

Ancak siber güvenlik firmasına uygun olarak, kuruluşlar tespit edildikten sonra uygulamalarında ortaya çıkan konular hakkında bilgilendirildi.

Yazımı okuduğunuz için teşekkürler eder, Saygılar ve sevgilerle.