Sono state trovate oltre 1.000 app iOS che espongono credenziali AWS hardcoded
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 1 Settembre 2022
Tags: #ios, #aws, #privacy, #sicurezza
Tags: #ios, #aws, #privacy, #sicurezza
Sono state trovate oltre 1.000 app iOS che espongono credenziali AWS hardcoded
iphone
I ricercatori di sicurezza stanno lanciando l'allarme sul fatto che gli sviluppatori di app mobili si affidano a pratiche non sicure che espongono le credenziali di Amazon Web Services (AWS), rendendo vulnerabile la catena di approvvigionamento.
Gli attori malintenzionati potrebbero trarne vantaggio per accedere a database privati, portando a violazioni dei dati e all'esposizione dei dati personali dei clienti.
Scala del problema
I ricercatori del team Threat Hunting di Symantec, parte di Broadcom Software, hanno trovato 1.859 applicazioni contenenti credenziali AWS hardcoded, la maggior parte delle quali sono app iOS e solo 37 per Android.
Circa il 77% di queste applicazioni conteneva token di accesso AWS validi che potevano essere utilizzati per l'accesso diretto ai servizi cloud privati.
Inoltre, 874 applicazioni contenevano token AWS validi che gli hacker possono utilizzare per accedere a istanze cloud contenenti database di servizi live che contengono milioni di record.
Questi database in genere contengono dettagli dell'account utente, registri, comunicazioni interne, informazioni sulla registrazione e altri dati sensibili, a seconda del tipo di app.
Esempi reali
Gli analisti delle minacce evidenziano tre casi importanti nel loro rapporto in cui i token AWS esposti potrebbero aver avuto conseguenze catastrofiche sia per gli autori che per gli utenti delle app vulnerabili.
Un esempio è una società business-to-business (B2B) che fornisce servizi di comunicazione e intranet a oltre 15.000 aziende di dimensioni medio-grandi.
Il kit di sviluppo software (SDK) che l'azienda ha fornito ai clienti per accedere ai propri servizi contiene chiavi AWS, esponendo tutti i dati privati dei clienti archiviati sulla piattaforma.
Un altro caso è un SDK di autenticazione e identità digitale di terze parti utilizzato da diverse app bancarie su iOS che includeva credenziali cloud valide.
Per questo motivo, tutti i dati di autenticazione di tutti i clienti di tali banche, inclusi nomi, date di nascita e persino scansioni biometriche delle impronte digitali, sono stati esposti nel cloud.
Infine, Symantec ha trovato una piattaforma tecnologica per le scommesse sportive utilizzata da 16 app di gioco online, che ha esposto l'intera infrastruttura e i servizi cloud con autorizzazioni di lettura/scrittura a livello di amministratore.
Perché sta succedendo?
Il problema con le credenziali del servizio cloud codificate e "dimenticate" è fondamentalmente un problema della catena di approvvigionamento, poiché la negligenza di uno sviluppatore di SDK può influire su un'intera raccolta di app e servizi che si basano su di esso.
Lo sviluppo di app mobili si basa su componenti già pronti invece di creare tutto da zero, quindi se gli editori di app non eseguono un controllo approfondito sugli SDK o sulle librerie che utilizzano, è probabile che un rischio per la sicurezza si propaghi nel loro progetto.
Per quanto riguarda gli sviluppatori che codificano le credenziali nei loro prodotti, questa è una questione di comodità durante il processo di sviluppo e test e di saltare la corretta revisione del codice per problemi di sicurezza.
Facendo riferimento ai motivi per cui ciò sta accadendo, Symantec evidenzia le seguenti possibilità:
Download o caricamento di risorse e risorse necessarie per l'app, in genere file multimediali di grandi dimensioni, registrazioni o immagini
Accesso ai file di configurazione per l'app e/o registrazione del dispositivo e raccolta di informazioni sul dispositivo e archiviazione nel cloud
Accesso ai servizi cloud che richiedono l'autenticazione, come i servizi di traduzione
Nessun motivo specifico, codice morto e/o utilizzato per il test e mai rimosso
La mancata rimozione di queste credenziali quando il software è pronto per essere distribuito dai client è una questione di incuria e il risultato dell'assenza di un processo di rilascio basato su checklist che includa anche la sicurezza.
Correzione dei backport di Apple per iOS zero-day sfruttato attivamente su iPhone meno recenti