Еще одна причина опасаться токенов авторизации.
Исследователи Symantec выявили 1859 приложений для Android и iOS, содержащих жестко запрограммированные учетные данные Amazon Web Services ( AWS ), что представляет большую угрозу безопасности для пользователей.
77% приложений содержат действительные токены авторизации AWS, позволяющие получить доступ к частным облачным сервисам AWS. Около 50% приложений различных разработчиков используют одни и те же токены доступа AWS, что указывает на уязвимость цепочки поставок.
Учетные данные AWS обычно используются для загрузки соответствующих ресурсов, необходимых для функций приложения, а также для доступа к файлам конфигурации и аутентификации в других облачных службах.
Более того, 47% обнаруженных приложений содержат действительные токены AWS, которые предоставляют полный доступ ко всем частным файлам и корзинам Amazon Simple Storage Service (S3) в облаке, включая файлы инфраструктуры и резервные копии данных.
В одном случае неназванная B2B-компания, которая предоставила своим клиентам комплект для разработки мобильного ПО (Software Development Kit, SDK), имела свои ключи облачной инфраструктуры, встроенные в SDK для доступа к службе перевода.
Это привело к раскрытию всех личных данных клиентов, которые включали корпоративные данные и финансовые отчеты, принадлежащие более чем 15 000 компаний среднего и крупного бизнеса.
Также были обнаружены 5 банковских iOS-приложений, которые использовали SDK, содержащий облачные учетные данные, что привело к утечке информации об отпечатках пальцев более 300 000 пользователей. Исследователи предупредили организации о найденных проблемах в приложениях.
Спойлер: мы раскрываем их любимые трюки