Ошибки разработки позволяют хакерам легко получить доступ к конфиденциальным данным в облаке.
Специалисты Symantec выявили серьёзную проблему безопасности в ряде популярных мобильных приложений для iOS и Android. В коде приложений были найдены незашифрованные и жёстко запрограммированные учетные данные для доступа к облачным сервисам Amazon Web Services (AWS) и Microsoft Azure Blob Storage, что создает риски несанкционированного доступа к данным пользователей и исходному коду.
Специалисты Symantec отмечают, что проблема возникла из-за ошибок на этапе разработки приложений. Включение данных прямо в код приложения позволяет любому с доступом к бинарному файлу или исходному коду проникнуть во внутреннюю инфраструктуру и похитить пользовательские данные. Злоумышленники могут использовать ключи для несанкционированного доступа к хранилищам, а также к базам данных, где содержатся конфиденциальные сведения.
Например, приложение «Pic Stitch: Collage Maker», загруженное более 5 миллионов раз на Google Play, содержит жестко запрограммированные учетные данные AWS. В коде обнаружена функция, отвечающая за выбор нужных данных в зависимости от среды использования. Злоумышленники могут получить доступ к ключам для работы с хранилищем S3 и манипулировать данными без ограничений.
Аналогичные проблемы были найдены в iOS-приложениях Crumbl, Eureka и Videoshop. В приложении Crumbl, имеющем миллионы оценок на Apple Store, обнаружены статические ключи для доступа к IoT-сервисам AWS через WebSocket Secure (WSS). Такая ошибка в конфигурации создаёт серьёзные риски для данных и инфраструктуры.
Приложение Eureka использует AWS для регистрации событий, а его ключи также сохранены в открытом виде. В приложении Videoshop не зашифрованы ключи, необходимые для взаимодействия с S3, что упрощает несанкционированный доступ.
Проблемы с жестко запрограммированными учётными данными также обнаружены в приложениях, работающих с Azure Blob Storage. Например, приложение Meru Cabs, скачанное более 5 миллионов раз, хранит строку подключения с ключами доступа к облачному хранилищу в коде. Схожие проблемы зафиксированы в Sulekha Business, где ключи используются для управления профилями и выставлением счетов, а также в ReSound Tinnitus Relief, работающем с аудиофайлами.
Наличие указанных приложений на устройстве не означает, что данные пользователя уже скомпрометированы. Однако при отсутствии изменений со стороны разработчиков киберпреступники могут воспользоваться уязвимостями и получить доступ к информации.
Для защиты данных рекомендуется следовать ряду передовых практик:
Соблюдение этих рекомендаций поможет минимизировать риски и повысить безопасность приложений. Инциденты, выявленные в этих примерах, подчеркивают важность приоритезации безопасности на всех этапах разработки.
Спойлер: мы раскрываем их любимые трюки