Bankacılık uygulamaları da dahil olmak üzere, müşteriye yönelik binlerce Android ve iOS mobil uygulamasının, siber saldırganların kurumsal bulutlardan hassas bilgileri çalmasına olanak tanıyan sabit kodlanmış Amazon Web Services (AWS) kimlik bilgileri içerdiği bulundu.
Symantec araştırmacıları, özellikle erişim belirteçleri olmak üzere, sabit kodlanmış AWS kimlik bilgilerini kullanan 1.859 iş uygulamasını ortaya çıkardı. Bunların dörtte üçü (%77), özel AWS bulut hizmetlerinde oturum açmak için geçerli AWS erişim belirteçleri içerir; ve yarısına yakını (%47), Amazon Simple Storage Service (Amazon S3) kovalarında bulunan milyonlarca özel dosyayı da kıran geçerli AWS erişim belirteçlerini içerir.
Bu, uygulamanın kötü niyetli bir kullanıcısının, belirteçleri kolayca çıkarabileceği ve uygulamaları oluşturan işletmelerin bulut kaynaklarından yararlanarak veri hırsızlığı yarışlarına girebileceği anlamına gelir.
Teşekkürler, Mobil Yazılım Tedarik Zinciri
Symantec araştırmacıları, geliştiricilerin sabit kodlu erişim belirteçlerini gömmesine izin veren savunmasız bileşenler olduğunu söyledi.
“Uygulamaların yarısından fazlasının (%53) diğer uygulamalarda bulunan aynı AWS erişim belirteçlerini kullandığını keşfettik” dediler. 1 Eylül’de analiz. “İlginç bir şekilde, bu uygulamalar genellikle farklı uygulama geliştiricilerinden ve şirketlerdendi. [Eventually] AWS erişim belirteçleri, paylaşılan bir kitaplığa, üçüncü taraf SDK’ya veya uygulamaları geliştirmede kullanılan diğer paylaşılan bileşenlere kadar izlenebilir.”
Şirket, bu paylaşılan, sabit kodlanmış AWS belirteçlerinin, şirket bulutundan büyük medya dosyalarını, kayıtları veya görüntüleri indirmek veya yüklemek dahil olmak üzere çeşitli nedenlerle şirket içi uygulama geliştiricileri tarafından kullanıldığını tespit etti; uygulama için yapılandırma dosyalarına erişim; kullanıcı cihazı bilgilerinin toplanması ve saklanması; veya çeviri hizmetleri gibi kimlik doğrulama gerektiren bireysel bulut hizmetlerine erişme. Bununla birlikte, belirteçlerin buluta erişimi genellikle geliştiricinin fark edebileceğinden çok daha fazladır.
Analize göre, “Sorun, genellikle aynı AWS erişim belirtecinin Amazon S3 bulutundaki tüm dosyaları ve klasörleri, genellikle şirket dosyalarını, altyapı dosyalarını ve bileşenlerini, veritabanı yedeklerini vb. ortaya çıkarmasıdır”. “Aynı AWS erişim belirteci kullanılarak erişilebilen Amazon S3’ün ötesindeki bulut hizmetlerinden bahsetmiyorum bile.”
Örnek olarak, analizin ortaya çıkardığı uygulamalardan biri, intranet ve iletişim platformu sunan bir B2B şirketi tarafından oluşturuldu. Ayrıca müşterilerin platforma erişmek için kullanmaları için bir mobil yazılım geliştirme kiti (SDK) sağlar.
Symantec araştırmacıları, “Maalesef SDK, B2B şirketinin bulut altyapı anahtarlarını da içeriyordu ve tüm müşterilerinin B2B şirketinin platformundaki özel verilerini açığa çıkardı.” “Müşterilerinin kurumsal verileri, finansal kayıtları ve çalışanlarının özel verileri ifşa oldu. Şirketin intranetinde 15.000’den fazla orta ve büyük ölçekli şirket için kullandığı tüm dosyalar da ifşa oldu.”
Aynı durum, kimlik doğrulama için AI Digital Identity SDK’ya dayanan iOS’taki bir dizi mobil bankacılık uygulaması için de geçerliydi. SDK, özel kimlik doğrulama verilerine ve onu kullanan her bankacılık ve finansal uygulamaya ait anahtarlara, ayrıca kimlik doğrulama için kullanılan 300.000 bankacılık kullanıcısının biyometrik dijital parmak izine ve diğer kişisel verilere (adlar, doğum tarihleri) erişmek için kullanılabilecek AWS jetonlarını yerleştirir. , ve dahası).
Symantec araştırmacıları, “Sabit kodlanmış AWS erişim belirteçlerine sahip uygulamalar savunmasız, aktif ve ciddi bir risk oluşturuyor” dedi. “[And] bu nadir görülen bir durum değil.”
Mobil Uygulamalar aracılığıyla Bulut Uzlaşmasından Kaçınma
StackHawk’ın kurucu ortağı ve CSO’su Scott Gerlach’a göre, kuruluşlar müşterileri için oluşturdukları uygulamaların farkında olmadan siber casusluğa yol açmamasını sağlamak için adımlar atabilir.
“Sürekli entegrasyon/sürekli geliştirme boru hatlarına (CI/CD) gizli tarama gibi DevSecOps araçları eklemek, yazılım oluştururken bu tür sırları ortaya çıkarmaya yardımcı olabilir” dedi. “Ayrıca, izinsiz erişimi önlemek için AWS’yi ve diğer API anahtarlarını/belirteçlerini nasıl yöneteceğinizi ve güvenli bir şekilde tedarik edeceğinizi anlamanız çok önemlidir.”
Tasarım açısından bakıldığında, geliştiriciler, Delinea’daki siber güvenlik müjdecisi Tony Goulding’e göre, sabit kodlanmış kimlik bilgilerini bir depoya veya bir hizmet olarak yazılım (SaaS) kasasına yapılan API çağrılarıyla veya geçici belirteçler kullanarak değiştirebilirler.
“[That way] cihazda, uygulamada veya yerel bir yapılandırma dosyasında kalıcı olmayan bir kimlik bilgisini veya anahtarı gerçek zamanlı olarak indirebilirler” dedi. “Alternatif bir yaklaşım, AWS STS hizmetini kullanmaktır. AWS kaynaklarına erişim sağlamak için geçici belirteçler sağlayın. 15 dakika gibi kısa bir sürede yapılandırılabilen kısa bir ömre sahip olmaları dışında, uzun vadeli kardeşlerine benzerler. Süresi dolduğunda, AWS bunları geçerli olarak tanımayacak ve bu belirteci kullanan yasa dışı bir API isteğini önleyecektir.”