histats

1 859 applications mobiles, principalement iOS, stockent des informations d’identification codées en dur pour les bases de données AWS

1 859 applications mobiles, principalement iOS, stockent des informations d’identification codées en dur pour les bases de données AWS

Selon les recherches de Symantec, pas moins de 1 859 applications Android et iOS accessibles au public contiennent des informations d’identification AWS codées en dur. La pratique dangereuse du développement d’applications mobiles ouvre la voie à de telles vulnérabilités dans la chaîne d’approvisionnement.

Les jetons d’accès AWS sont actifs dans environ 77 % (1 431) de ces 1 859 applications, ce qui permet aux pirates d’accéder aux services cloud AWS privés. En outre, près de la moitié de ces applications (873) contenant des jetons d’accès AWS valides donnaient accès à des bases de données privées stockées dans Amazon S3 contenant des millions de fichiers et d’enregistrements de données.

Le scénario est idéal pour les acteurs de la menace qui violent les données et a un impact considérable sur la vie privée des utilisateurs et le tissu de sécurité de l’ensemble de la chaîne d’approvisionnement des logiciels mobiles. Ces bases de données sont généralement utilisées par les développeurs d’applications mobiles pour stocker des données sensibles, y compris, mais sans s’y limiter, les communications, les journaux d’applications, les données privées des clients/utilisateurs, etc.

Des études de cas menées par le chercheur de l’équipe Symantec Threat Hunter, Kevin Watkins, ont révélé qu’une de ces instances contenait des données d’authentification privées et des clés appartenant à toutes les applications bancaires et financières. Des données personnelles, y compris le nom, la date de naissance, etc., et 300 000 empreintes digitales biométriques numériques ont été divulguées sur cinq applications bancaires mobiles qui utilisent le SDK.

Watkins a également découvert 16 applications de jeu en ligne qui exposent l’intégralité de leur infrastructure et de leurs services cloud sur tous les services cloud AWS avec des informations d’identification de compte racine en lecture/écriture complètes. Par conséquent, leurs opérations de jeu, leurs données commerciales et leurs données clients sont menacées.

See also  Des centaines de sites Web et d'applications piratées saisis dans le cadre de l'opération américano-brésilienne 404.4

Un autre cas a révélé que la pile technologique d’une entreprise exposait tous les fichiers qu’elle possédait sur l’intranet de plus de 15 000 moyennes et grandes entreprises, ainsi que les données d’entreprise des clients, les dossiers financiers et les données privées des employés.

Chacun de ces cas a une chose en commun. Dans chaque cas, les entreprises exposées exploitent des kits de développement logiciel (SDK) vulnérables, des bibliothèques ou toute autre pile technologique de leur fournisseur de technologie. Par exemple, les 16 applications de jeu en ligne utilisaient une bibliothèque vulnérable ou externalisaient leurs opérations numériques et en ligne à des entreprises B2B.

De même, toutes les applications bancaires qui exposaient des données utilisaient un SDK d’identité numérique IA tiers vulnérable d’un fournisseur tiers, qui avait des informations d’identification cloud intégrées.

Voir plus : Oracle fait face à un recours collectif pour la collecte, le profilage et la vente de données aux utilisateurs 5B

Watkins a écrit : “Imaginez une entreprise interentreprises (B2B) accédant au service à l’aide d’un SDK tiers et saisissant une clé d’accès AWS codée en dur, exposant non seulement les données privées de l’application à l’aide du SDK tiers, mais également les données privées données de toutes les applications utilisant le composant tiers. Malheureusement, ce n’est pas rare.”

Symantec, une société appartenant à Broadcom, a souligné que ces risques sont directement attribuables aux développeurs d’applications mobiles en amont utilisant des bibliothèques de logiciels et des SDK externes ou des opérations technologiques d’externalisation, qui nécessitent le partage de données utilisateur/client sans effectuer la diligence raisonnable nécessaire. En conséquence, la sécurité des applications et des données en aval est gravement entravée.

See also  "WhatsApp est un outil de surveillance depuis 13 ans, il vaut mieux arrêter de l'utiliser", déclare le fondateur de Telegram, Pavel Durov - Technology News, Firstpost

“Nous avons découvert que plus de la moitié (53 %) des applications utilisaient les mêmes jetons d’accès AWS que ceux trouvés dans d’autres applications. Fait intéressant, ces applications provenaient souvent de différents développeurs et entreprises d’applications. Cela indiquait une vulnérabilité dans la chaîne d’approvisionnement, et c’est exactement ce que nous avons trouvé. Les jetons d’accès AWS peuvent être tracés jusqu’à une bibliothèque partagée, un SDK tiers ou un autre composant partagé utilisé dans le développement des applications », a déclaré Watkins. c’est noté.

La chaîne d’approvisionnement en logiciels est l’une des cibles les plus sérieuses, sans parler des plus lucratives, avec le potentiel de causer des dommages étendus. Il suffit de regarder le piratage de la chaîne d’approvisionnement logicielle de SolarWinds Orion, une plate-forme de surveillance et de gestion de l’infrastructure informatique largement utilisée par le secteur privé et le gouvernement américain.

Décembre 2020 campagne de cyberespionnage cibler les clients de SolarWinds utilisant Orion était assez sophistiqué. Le groupe russe Advanced Persistent Threat (APT) a commencé à s’y préparer dès mars 2020.

Cependant, sur la base des preuves découvertes par Symantec, il est peu probable que compromettre la chaîne d’approvisionnement des logiciels mobiles pour violer les données transmises vers et depuis les applications mobiles soit aussi difficile.

Alors pourquoi les développeurs mobiles utilisent-ils des clés codées en dur ? Watkins et Symantec ont expliqué les raisons suivantes :

  • Les applications doivent télécharger ou télécharger des actifs et des ressources (fichiers multimédias volumineux, enregistrements ou images).
  • Pour accéder aux fichiers de configuration de l’application, enregistrez l’appareil, collectez les informations sur l’appareil et stockez-les dans le cloud.
  • Pour accéder aux services cloud qui nécessitent une authentification.
  • Probablement le plus problématique : aucune raison spécifique, code mort et/ou utilisé pour les tests et jamais supprimé.
See also  How do I know if my phone is hacked?

98 % des applications mobiles avec des informations d’identification AWS codées en dur et donc vulnérables aux risques de la chaîne d’approvisionnement étaient pour iOS. Symantec a informé toutes les parties concernées.

Faites-nous savoir si vous avez apprécié la lecture de cette nouvelle LinkedIn, Twitterou Facebook. Nous aimerions avoir de vos nouvelles!

EN SAVOIR PLUS SUR LA CYBERSÉCURITÉ

You may also like...

Leave a Reply

Your email address will not be published. Required fields are marked *