Mais de 40 apps ‘populares’ são encontrados vazando chaves da AWS

Views: 120
0 0
Read Time:3 Minute, 34 Second

Vazamento de chaves foi detectado em alguns dos principais aplicativos, como Adobe Photoshop Fix, Adobe Comp, Hootsuite e IBM Weather Channel

O mecanismo de pesquisa BeVigil identificou mais de 40 aplicativos — com mais de 100 milhões de downloads cumulativos — que tinham chaves privadas da Amazon Web Services (AWS) codificadas neles, o que coloca as redes internas e os usuários desses apps em risco de sofrer ataques cibernéticos. Essas chaves podem ser facilmente descobertas por hackers mal-intencionados ou concorrentes que podem usá-las para comprometer seus dados e redes.

A maioria dos usuários de aplicativos móveis tende a confiar cegamente que os aplicativos que baixam das lojas de apps são seguros e protegidos. Mas nem sempre é assim. Para demonstrar as armadilhas e identificar vulnerabilidades em grande escala, a empresa de segurança cibernética e inteligência de máquina CloudSEK desenvolveu a plataforma BeVigil que permite aos usuários pesquisar e verificar as classificações de segurança do aplicativo e outros problemas antes de instalá-lo.

O vazamento de chaves da AWS foi detectado em alguns dos principais aplicativos, como Adobe Photoshop Fix, Adobe Comp, Hootsuite, IBM Weather Channel e serviços de compras online. As descobertas são resultado de uma análise de mais de 10 mil aplicativos submetidos ao BeVigil.

“As chaves AWS codificadas em um código-fonte de aplicativo móvel podem ser um grande problema, especialmente se a função [gerenciamento de identidade e acesso] tiver amplo escopo e permissões”, disseram os pesquisadores da CloudSEK. “As possibilidades de uso indevido são infinitas aqui, uma vez que os ataques podem ser encadeados e o invasor pode obter acesso adicional a toda a infraestrutura, até mesmo à base de código e às configurações.”

A CloudSEK disse que alertou a AWS e as empresas afetadas sobre esses riscos a segurança.

Em um aplicativo analisado pela empresa, a chave AWS exposta permitia acesso a vários serviços AWS, incluindo credenciais para o serviço de armazenamento S3, que por sua vez abriu acesso a 88 depósitos contendo 10.073.444 arquivos e dados de 5,5 terabytes.

Também incluídos nos intervalos estavam o código-fonte, backups de aplicativos, relatórios de usuários, artefatos de teste, arquivos de configuração e credenciais que poderiam ser usados ​​para obter acesso mais profundo à infraestrutura do aplicativo, incluindo bancos de dados de usuários.

Instâncias AWS configuradas incorretamente e acessíveis a partir da internet têm sido a causa de muitas violações de dados recentemente. Em outubro de 2019, a empresa de segurança cibernética Imperva divulgou que as informações de um subconjunto não especificado de usuários de seu produto Cloud Firewall estavam acessíveis online após uma falha na migração para a nuvem de seu banco de dados de clientes que começou em 2017.

No mês passado, a plataforma de corretagem online e de descontos com sede na Índia Upstox sofreu um incidente de segurança depois que um grupo de hackers conhecido como ShinyHunters acessou seu bucket (contêiner de objetos) AWS S3 configurado incorretamente.

O que pesquisar no BeVigil

A plataforma BeVigil permite pesquisar milhões de aplicativos em busca de trechos de código vulneráveis ​​ou palavras-chave para saber quais aplicativos os contêm. Com isso, os usuários podem facilmente analisar dados de qualidade, correlacionar ameaças e lidar com falsos positivos.

Além de pesquisar um aplicativo específico simplesmente digitando o nome, também é possível encontrar uma lista completa de aplicativos:

  • De uma organização, acima ou abaixo de uma determinada pontuação de segurança; por exemplo, aplicativos de crédito com pontuação de segurança 7, lançado dentro de determinado período (selecione as datas “de” e “até”); por exemplo, identificar aplicativos de crédito lançados em 2021, em 48 categorias diferentes, como finanças, educação, ferramentas, saúde e boa forma, etc.;
  • De um desenvolvedor específico, pesquisando com o endereço de e-mail do desenvolvedor, desenvolvido em um país específico por meio de pesquisa; por exemplo, identificar aplicativos bancários da Alemanha, desenvolvido em um local específico, pesquisando com o código PIN ou endereço de e-mail do desenvolvedor, que gravam áudio em segundo plano, bem como o local de registro em segundo plano, que pode acessar o dispositivo de câmera ou acessar permissões específicas em seu dispositivo, com uma versão de SDK de destino específica;
  • Além desses, também é possível usar Regexes para encontrar aplicativos com vulnerabilidades de segurança, procurando por padrões de código.

FONTE: CISO ADVISOR

Previous post Nova falha descoberta em chip afeta segurança de PCs em todo o mundo
Next post TJRS: Servidores e advogados denunciam roubo de dados. Tribunal nega e se cala sobre resgate

Deixe um comentário