Yüzlerce mobil uygulamanın Amazon Web Services (AWS) kimlik bilgilerini sızdırdığı tespit edildi.
Yakın zamanda Symantec analizi (yeni sekmede açılır) Verilerinizi riske atabilecek sabit kodlanmış AWS kimlik bilgileri içeren, %98’i iOS uygulamaları olan 1.859 genel kullanıma açık uygulama belirledi.
Şirket, uygulamaların dörtte üçünden fazlasının (%77) özel AWS bulut hizmetlerine erişime izin veren geçerli AWS erişim belirteçleri içerdiğini ve neredeyse yarısının (%47) aynı zamanda sayısız, genellikle milyonlarca kişiye tam erişim sağlayan geçerli AWS belirteçleri içerdiğini tespit etti. Amazon Simple Storage Service (Amazon S3) aracılığıyla özel dosyalar.
Güvenlik araştırmacısı Kevin Watkins, güvenlik açıklarının nedenlerinden bazılarının, güvenlik açığı bulunan harici yazılım kitaplıklarının ve SDK’ların bilinmeyen kullanımı, uygulama geliştirme için dış kaynak kullanımı ve eksik bilgi ve etkisiz iletişim için sayısız fırsat sunabilecek ekipler arası işbirliği olduğunu söylüyor.
Analiz, etkilenen şirketlerin gerçek dünyadan üç örneğini vurgulamaktadır. İlki, bir intranet ve iletişim platformu sağlayan isimsiz bir B2B şirketi, müşterilerine, şirketin bulut altyapı anahtarlarını açığa çıkaran, finansal kayıtlar ve özel veriler gibi şeyleri açığa çıkaran bir mobil SDK sağlamıştı.
İkinci örnek, ilgili uygulamalarının dijital kimlik ve kimlik doğrulama bileşenini dış kaynak kullanan bir dizi iOS bankacılık uygulamasından bahseder. Bu SDK’nın etkilenen kullanıcılarının adları ve doğum tarihleri de dahil olmak üzere kişisel verileri açığa çıktı. Ayrıca, beş bankacılık uygulaması tarafından 300.000’den fazla biyometrik dijital parmak izi sızdırıldı.
Son olarak, teknoloji platformunu paylaşmak için başka bir şirketle iş birliği yapan bir konaklama ve eğlence şirketinin, 16 farklı uygulama tarafından kullanılan bir kitaplıktan iş ve müşteri verilerini ifşa ettiği tespit edildi.
Araştırma bulguları ilgili şirketlerle paylaşıldı, ancak sorunların hemen çözülüp çözülmediği henüz bilinmiyor.
Aracılığıyla Bipleyen Bilgisayar (yeni sekmede açılır)
işletim-sistemi-1