Более 1800 мобильных приложений раскрывают личные данные клиентов крупных компаний и разработчиков

Symantec AWS Amazon токен авторизации iOS Android
Еще одна причина опасаться токенов авторизации.

Более 1800 мобильных приложений раскрывают личные данные клиентов крупных компаний и разработчиков

Исследователи Symantec
выявили
1859 приложений для Android и iOS, содержащих жестко запрограммированные учетные данные Известен как ведущий в мире цифровой ритейлер; онлайн-любимчик, который продает все, что вы можете себе представить — от журнальных столиков в стиле ретро и бархатных вешалок для костюмов до самых прочных расширяемых садовых шлангов.»
data-html=»true» data-original-title=»Amazon»
>Amazon
Web Services ( AWS ), что представляет большую угрозу безопасности для пользователей.
77% приложений содержат действительные токены авторизации AWS, позволяющие получить доступ к частным облачным сервисам AWS. Около 50% приложений различных разработчиков используют одни и те же токены доступа AWS, что указывает на уязвимость цепочки поставок.
Учетные данные AWS обычно используются для загрузки соответствующих ресурсов, необходимых для функций приложения, а также для доступа к файлам конфигурации и аутентификации в других облачных службах.
Более того, 47% обнаруженных приложений содержат действительные токены AWS, которые предоставляют полный доступ ко всем частным файлам и корзинам Amazon Simple Storage Service (S3) в облаке, включая файлы инфраструктуры и резервные копии данных.
В одном случае неназванная B2B-компания, которая предоставила своим клиентам комплект для разработки мобильного ПО (Software Development Kit, SDK), имела свои ключи облачной инфраструктуры, встроенные в SDK для доступа к службе перевода.
Это привело к раскрытию всех личных данных клиентов, которые включали корпоративные данные и финансовые отчеты, принадлежащие более чем 15 000 компаний среднего и крупного бизнеса.
Также были обнаружены 5 банковских iOS-приложений, которые использовали SDK, содержащий облачные учетные данные, что привело к утечке информации об отпечатках пальцев более 300 000 пользователей. Исследователи предупредили организации о найденных проблемах в приложениях.

SECURITYLAB.RU

Добавить комментарий

Ваш адрес email не будет опубликован.