Vazamento de chaves foi detectado em alguns dos principais aplicativos, como Adobe Photoshop Fix, Adobe Comp, Hootsuite e IBM Weather Channel
O mecanismo de pesquisa BeVigil identificou mais de 40 aplicativos — com mais de 100 milhões de downloads cumulativos — que tinham chaves privadas da Amazon Web Services (AWS) codificadas neles, o que coloca as redes internas e os usuários desses apps em risco de sofrer ataques cibernéticos. Essas chaves podem ser facilmente descobertas por hackers mal-intencionados ou concorrentes que podem usá-las para comprometer seus dados e redes.
A maioria dos usuários de aplicativos móveis tende a confiar cegamente que os aplicativos que baixam das lojas de apps são seguros e protegidos. Mas nem sempre é assim. Para demonstrar as armadilhas e identificar vulnerabilidades em grande escala, a empresa de segurança cibernética e inteligência de máquina CloudSEK desenvolveu a plataforma BeVigil que permite aos usuários pesquisar e verificar as classificações de segurança do aplicativo e outros problemas antes de instalá-lo.
O vazamento de chaves da AWS foi detectado em alguns dos principais aplicativos, como Adobe Photoshop Fix, Adobe Comp, Hootsuite, IBM Weather Channel e serviços de compras online. As descobertas são resultado de uma análise de mais de 10 mil aplicativos submetidos ao BeVigil.
“As chaves AWS codificadas em um código-fonte de aplicativo móvel podem ser um grande problema, especialmente se a função [gerenciamento de identidade e acesso] tiver amplo escopo e permissões”, disseram os pesquisadores da CloudSEK. “As possibilidades de uso indevido são infinitas aqui, uma vez que os ataques podem ser encadeados e o invasor pode obter acesso adicional a toda a infraestrutura, até mesmo à base de código e às configurações.”
A CloudSEK disse que alertou a AWS e as empresas afetadas sobre esses riscos a segurança.
Em um aplicativo analisado pela empresa, a chave AWS exposta permitia acesso a vários serviços AWS, incluindo credenciais para o serviço de armazenamento S3, que por sua vez abriu acesso a 88 depósitos contendo 10.073.444 arquivos e dados de 5,5 terabytes.
Também incluídos nos intervalos estavam o código-fonte, backups de aplicativos, relatórios de usuários, artefatos de teste, arquivos de configuração e credenciais que poderiam ser usados para obter acesso mais profundo à infraestrutura do aplicativo, incluindo bancos de dados de usuários.
Instâncias AWS configuradas incorretamente e acessíveis a partir da internet têm sido a causa de muitas violações de dados recentemente. Em outubro de 2019, a empresa de segurança cibernética Imperva divulgou que as informações de um subconjunto não especificado de usuários de seu produto Cloud Firewall estavam acessíveis online após uma falha na migração para a nuvem de seu banco de dados de clientes que começou em 2017.
No mês passado, a plataforma de corretagem online e de descontos com sede na Índia Upstox sofreu um incidente de segurança depois que um grupo de hackers conhecido como ShinyHunters acessou seu bucket (contêiner de objetos) AWS S3 configurado incorretamente.
O que pesquisar no BeVigil
A plataforma BeVigil permite pesquisar milhões de aplicativos em busca de trechos de código vulneráveis ou palavras-chave para saber quais aplicativos os contêm. Com isso, os usuários podem facilmente analisar dados de qualidade, correlacionar ameaças e lidar com falsos positivos.
Além de pesquisar um aplicativo específico simplesmente digitando o nome, também é possível encontrar uma lista completa de aplicativos:
- De uma organização, acima ou abaixo de uma determinada pontuação de segurança; por exemplo, aplicativos de crédito com pontuação de segurança 7, lançado dentro de determinado período (selecione as datas “de” e “até”); por exemplo, identificar aplicativos de crédito lançados em 2021, em 48 categorias diferentes, como finanças, educação, ferramentas, saúde e boa forma, etc.;
- De um desenvolvedor específico, pesquisando com o endereço de e-mail do desenvolvedor, desenvolvido em um país específico por meio de pesquisa; por exemplo, identificar aplicativos bancários da Alemanha, desenvolvido em um local específico, pesquisando com o código PIN ou endereço de e-mail do desenvolvedor, que gravam áudio em segundo plano, bem como o local de registro em segundo plano, que pode acessar o dispositivo de câmera ou acessar permissões específicas em seu dispositivo, com uma versão de SDK de destino específica;
- Além desses, também é possível usar Regexes para encontrar aplicativos com vulnerabilidades de segurança, procurando por padrões de código.
FONTE: CISO ADVISOR