È stato scoperto che centinaia di app mobile stanno perdendo le credenziali di Amazon Web Services (AWS). Secondo una recente indagine di Symantec, ci sono 1.859 app disponibili pubblicamente, il 98% delle quali sono app iOS, che includono credenziali AWS hardcoded, mettendo potenzialmente in pericolo i tuoi dati.
La società ha scoperto che oltre tre quarti (77%) delle app disponeva di token di accesso AWS validi che consentivano l’accesso a servizi cloud AWS privati e quasi la metà (47%) disponeva di token AWS validi che davano anche pieno accesso a numerosi, spesso milioni di file privati tramite Amazon Simple Storage Service (Amazon S3).
Secondo il ricercatore di sicurezza Kevin Watkins, alcune delle cause delle vulnerabilità includono l’uso sconosciuto di librerie software esterne vulnerabili e SDK, l’esternalizzazione dello sviluppo di app e la collaborazione tra team, che potrebbero presentare numerose opportunità per informazioni mancanti e comunicazioni inefficaci.
L’esame si concentra su tre esempi reali
di aziende danneggiate. Il primo, un provider B2B senza nome di una piattaforma intranet e di comunicazione, aveva offerto ai propri clienti un SDK mobile che esponeva le chiavi dell’infrastruttura cloud dell’azienda, esponendo i record finanziari e i dati riservati.Il secondo esempio fa riferimento a una manciata di app bancarie iOS che hanno esternalizzato l’ID digitale e i componenti di autenticazione. Le informazioni personali, inclusi nomi e date di nascita, sono state rese pubbliche per gli utenti SDK interessati. Inoltre, cinque app bancarie hanno fatto trapelare oltre 300.000 impronte digitali biometriche.
Infine, è stato scoperto che una società di ospitalità e intrattenimento che aveva collaborato con un’altra società per condividere la sua piattaforma tecnologica stava esponendo dati aziendali e dei consumatori da una libreria utilizzata da 16 app distinte. I risultati della ricerca sono stati comunicati alle aziende coinvolte, tuttavia non è chiaro se i difetti siano stati risolti immediatamente.