Код нараспашку: популярные приложения раскрывают ключи от AWS и Azure

Специалисты Symantec выявили серьёзную проблему безопасности в ряде популярных мобильных приложений для iOS и Android. В коде приложений были найдены незашифрованные и жёстко запрограммированные учетные данные для доступа к облачным сервисам Amazon Web Services (AWS) и Microsoft Azure Blob Storage, что создает риски несанкционированного доступа к данным пользователей и исходному коду.

Специалисты Symantec отмечают, что проблема возникла из-за ошибок на этапе разработки приложений. Включение данных прямо в код приложения позволяет любому с доступом к бинарному файлу или исходному коду проникнуть во внутреннюю инфраструктуру и похитить пользовательские данные. Злоумышленники могут использовать ключи для несанкционированного доступа к хранилищам, а также к базам данных, где содержатся конфиденциальные сведения.

Например, приложение «Pic Stitch: Collage Maker», загруженное более 5 миллионов раз на Google Play, содержит жестко запрограммированные учетные данные AWS. В коде обнаружена функция, отвечающая за выбор нужных данных в зависимости от среды использования. Злоумышленники могут получить доступ к ключам для работы с хранилищем S3 и манипулировать данными без ограничений.

Аналогичные проблемы были найдены в iOS-приложениях Crumbl, Eureka и Videoshop. В приложении Crumbl, имеющем миллионы оценок на Apple Store, обнаружены статические ключи для доступа к IoT-сервисам AWS через WebSocket Secure (WSS). Такая ошибка в конфигурации создаёт серьёзные риски для данных и инфраструктуры.

Приложение Eureka использует AWS для регистрации событий, а его ключи также сохранены в открытом виде. В приложении Videoshop не зашифрованы ключи, необходимые для взаимодействия с S3, что упрощает несанкционированный доступ.

Проблемы с жестко запрограммированными учётными данными также обнаружены в приложениях, работающих с Azure Blob Storage. Например, приложение Meru Cabs, скачанное более 5 миллионов раз, хранит строку подключения с ключами доступа к облачному хранилищу в коде. Схожие проблемы зафиксированы в Sulekha Business, где ключи используются для управления профилями и выставлением счетов, а также в ReSound Tinnitus Relief, работающем с аудиофайлами.

Наличие указанных приложений на устройстве не означает, что данные пользователя уже скомпрометированы. Однако при отсутствии изменений со стороны разработчиков киберпреступники могут воспользоваться уязвимостями и получить доступ к информации.

Для защиты данных рекомендуется следовать ряду передовых практик:

• Хранение ключей в переменных среды вместо встраивания в код.
• Использование менеджеров секретов, таких как AWS Secrets Manager или Azure Key Vault.
• Шифрование данных и их расшифровка только при выполнении.
• Периодические аудиты безопасности и код-ревью.
• Интеграция автоматизированных инструментов безопасности в процесс разработки.

Соблюдение этих рекомендаций поможет минимизировать риски и повысить безопасность приложений. Инциденты, выявленные в этих примерах, подчеркивают важность приоритезации безопасности на всех этапах разработки.