Les chercheurs ont identifié 1 859 applications sur Android et iOS qui contiennent des informations d’identification Amazon Web Services (AWS) codées en dur, ce qui pose un risque de sécurité majeur.
« Plus des trois quarts (77 %) des applications contenaient des jetons d’accès AWS valides qui permettent d’accéder aux services cloud AWS privés », a déclaré l’équipe Threat Hunter de Symantec, qui fait partie de Broadcom Software, dans un rapport partagé avec The Hacker News.
Fait intéressant, un peu plus de 50 % des applications ont été trouvées en utilisant les mêmes jetons AWS trouvés dans d’autres applications gérées par d’autres développeurs et entreprises, mettant en évidence un problème de chaîne d’approvisionnement avec de graves implications.
“Les jetons d’accès AWS peuvent être tracés vers une bibliothèque partagée, un SDK tiers ou un autre composant partagé utilisé dans le développement des applications”, ont déclaré les chercheurs.
Ces informations d’identification sont généralement utilisées pour télécharger les ressources appropriées nécessaires à la fonctionnalité de l’application, ainsi que pour accéder aux fichiers de configuration et s’authentifier auprès d’autres services cloud.
Pire encore, 47 % des applications identifiées contenaient des jetons AWS valides qui accordaient un accès complet à tous les fichiers privés et aux compartiments Amazon Simple Storage Service (S3) dans le cloud. Cela comprenait, entre autres, les fichiers d’infrastructure et les sauvegardes de données.
Dans un cas découvert par Symantec, une société B2B anonyme fournissant une plate-forme intranet et de communication qui fournissait également un kit de développement logiciel (SDK) mobile à ses clients avait ses clés d’infrastructure cloud intégrées dans le SDK pour accéder au service de traduction.
Cela a entraîné l’exposition de toutes les informations privées des clients, qui comprenaient des données d’entreprise et des dossiers financiers appartenant à plus de 15 000 moyennes et grandes entreprises.
“Au lieu de restreindre l’utilisation du jeton d’accès codé en dur avec le service cloud de traduction, toute personne disposant du jeton avait un accès total et sans entrave à tous les services cloud AWS de l’entreprise B2B”, ont noté les chercheurs.
Il a également découvert cinq applications bancaires iOS qui s’appuient sur le même SDK AI Digital Identity qui contenait les informations d’identification cloud, ce qui a effectivement divulgué les informations d’empreintes digitales de plus de 300 000 utilisateurs.
La société de cybersécurité a déclaré avoir alerté les organisations des problèmes découverts dans leurs applications.
Le développement intervient alors que des chercheurs de CloudSEK ont révélé que 3 207 applications mobiles exposaient les clés API Twitter en clair, dont certaines pourraient être utilisées pour obtenir un accès non autorisé aux comptes Twitter qui leur sont associés.
![[Column] Learn from Ukraine’s Cyber Defense](https://www.theintegritywebs.com/wp-content/uploads/2022/12/c4fa16a0-c48f-4e3d-9279-4cf2cc647874-120x120.jpg "[Column] Learn from Ukraine’s Cyber Defense")
