安裝量超過1億的40款應(yīng)用程序被發(fā)現(xiàn)泄漏AWS密鑰
大多數(shù)手機應(yīng)用用戶傾向于盲目地相信他們從應(yīng)用商店下載的應(yīng)用是安全的,但實際情況并非總是如此。
為了大規(guī)模介紹這些漏洞并方便用戶進行識別,網(wǎng)絡(luò)安全和機器智能公司CloudSEK最近提供了一個名為BeVigil的平臺,用戶可以在安裝應(yīng)用程序之前搜索和檢查應(yīng)用程序的安全評級和其他安全問題。
與The Hacker News共享的最新報告詳細說明了BeVigil搜索引擎是如何識別40多個應(yīng)用程序(累計下載量超過1億次),這些應(yīng)用程序中嵌入了硬編碼的Amazon Web Services(AWS)專用密鑰,從而將其內(nèi)部網(wǎng)絡(luò)和用戶數(shù)據(jù)面臨網(wǎng)絡(luò)攻擊的風險。
BeVigil發(fā)現(xiàn)流行的應(yīng)用程序泄漏了AWS密鑰
AWS密鑰泄漏已在一些主要應(yīng)用程序中被發(fā)現(xiàn),例如Adobe Photoshop Fix,Adobe Comp,Hootsuite,IBM的Weather Channel以及在線購物服務(wù)Club Factory和Wholee。這些結(jié)果是對提交給CloudSEK的移動應(yīng)用安全搜索引擎BeVigil的1萬多個應(yīng)用程序進行分析后得出的。
CloudSEK研究人員表示:
- 在移動應(yīng)用程序源代碼中硬編碼的AWS密鑰可能是一個巨大的漏洞,特別是如果(身份和訪問管理)角色具有廣泛的范圍和權(quán)限。誤用的可能性非常大且攻擊的危害性非常大,因為攻擊可以鏈接,攻擊者可以進一步訪問整個基礎(chǔ)設(shè)施,甚至代碼庫和配置。
CloudSEK表示,它負責任地向AWS和受影響的公司獨立披露了這些安全問題。
在總部位于班加羅爾的網(wǎng)絡(luò)安全公司分析的應(yīng)用程序中,公開的AWS密鑰可以訪問多個AWS服務(wù),包括S3存儲服務(wù)的憑據(jù),這反過來又可以訪問88個存儲桶,其中包含10073444個文件和數(shù)據(jù),總計5.5 tb。
存儲桶中還包括源代碼、應(yīng)用程序備份、用戶報告、測試工件、配置和憑據(jù)文件,這些文件可以用來深入訪問應(yīng)用程序的基礎(chǔ)設(shè)施,包括用戶數(shù)據(jù)庫。
從互聯(lián)網(wǎng)訪問的錯誤配置AWS實例是最近許多數(shù)據(jù)泄漏的原因。2019年10月,網(wǎng)絡(luò)安全公司Imperva披漏,在2017年開始的一次客戶數(shù)據(jù)庫云遷移失敗后,其云防火墻產(chǎn)品的一部分用戶的信息可以在網(wǎng)上訪問。
上個月, 印度股票交易平臺 Upstox 發(fā)布公告稱遭受黑客攻擊,發(fā)生了嚴重的數(shù)據(jù)泄露事件,數(shù)百萬客戶的個人信息可能已經(jīng)被竊取。泄漏數(shù)據(jù)包括:客戶的姓名,聯(lián)系信息,出生日期,銀行帳戶信息以及數(shù)百萬個KYC(Know Your Customer)詳細信息,Upstox 認為這些信息是 ShinyHunters 黑客團伙在訪問公司的 Amazon AWS 密鑰后盜用的。經(jīng)分析,是Upstox配置了錯誤的AWS S3存儲桶。對 KYC 數(shù)據(jù)的泄露尤其嚴重,因為它可能包含身份證,護照,帶照片的身份證件以及其他文件的掃描件,這些文件可以證明個人的住所,例如水電費賬單。此類信息可幫助金融組織確定客戶的真實身份,并打擊洗錢和資助恐怖主義行為,但如果這些信息落入不法份子之手,則可能被身份盜用者和騙子濫用。
Bevigil首席技術(shù)官Shahrukh Ahmad說:
- 硬編碼API密鑰就像給你的房子加了鎖,但將密鑰留在標有'請勿打開'的信封中。這些密鑰很容易被惡意黑客或競爭對手發(fā)現(xiàn),他們可以使用它們來破壞其數(shù)據(jù)和網(wǎng)絡(luò)。
什么是BeVigil,它是如何工作的?
BeVigil是一個移動安全搜索引擎,它允許研究人員搜索應(yīng)用的元數(shù)據(jù),審查他們的代碼,查看安全報告和風險評分,甚至掃描新的APK。
移動應(yīng)用程序已成為許多最近的供應(yīng)鏈攻擊的目標,攻擊者將惡意代碼注入到應(yīng)用程序開發(fā)人員使用的SDK中。安全團隊可以依靠BeVigil來識別使用惡意SDK的任何惡意應(yīng)用。通過使用元數(shù)據(jù)搜索,安全研究人員可以對網(wǎng)絡(luò)上的各種應(yīng)用程序進行深入調(diào)查。BeVigil生成的掃描報告可供整個CloudSEK社區(qū)使用。總之,對于消費者和安全研究人員來說,它有點像VirusTotal。
你可以在BeVigil中尋找什么?
你可以在數(shù)以百萬計的應(yīng)用程序中搜索易受攻擊的代碼片段或關(guān)鍵字,以了解哪些應(yīng)用程序包含這些代碼。這樣,研究人員可以輕松分析質(zhì)量數(shù)據(jù),關(guān)聯(lián)威脅并處理誤報。
除了通過簡單地輸入名稱來搜索特定應(yīng)用程序外,還可以找到整個應(yīng)用程序列表:
- 來自哪個開發(fā)組織;
- 高于或低于一定的安全評分;例如,安全得分為7的信用應(yīng)用程序;
- 在特定時間段內(nèi)發(fā)布(選擇“開始”和“結(jié)束”日期),例如,確定2021年發(fā)布的信用應(yīng)用;
- 來自48個不同類別,例如金融、教育、工具、健康與健身等;
- 通過搜索特定開發(fā)者的電子郵件地址;
- 通過搜索在特定國家/地區(qū)開發(fā)的程序,例如,識別來自德國的銀行應(yīng)用;
- 通過搜索個人識別碼或開發(fā)者電子郵件地址在特定位置開發(fā)的應(yīng)用;
- 在后臺錄制音頻;
- 在后臺記錄位置;
- 可以訪問攝像頭設(shè)備;
- 可以訪問;設(shè)備上的特定權(quán)限;
- 使用特定的目標SDK版本;
- 除此之外,還可以使用正則表達式通過查找代碼模式來查找具有安全漏洞的應(yīng)用程序;
本文翻譯自:https://thehackernews.com/2021/05/over-40-apps-with-more-than-100-million.html如若轉(zhuǎn)載,請注明原文地址。
