Aynı üçüncü taraf AI tabanlı dijital kimlik SDK’sını kullanan beş isimsiz mobil bankacılık uygulaması, 300.000’den fazla biyometrik dijital parmak izini sızdırmış olabilir. rapor (yeni sekmede açılır) Symantec’teki araştırmacılar tarafından.
Bir uygulamanın dijital kimlik ve kimlik doğrulama bileşenini dışarıdan temin etmek, araştırmacılara göre yaygın bir geliştirme modelidir, çünkü farklı kimlik doğrulama biçimleri sağlamanın karmaşıklıkları uygulama geliştiricileri için zor olabilir.
Ancak bu örnekte yaklaşım çarpıcı bir şekilde başarısız oldu, bankacılık uygulamaları SDK’sına gömülü olan Amazon Web Services (AWS) bulut kimlik bilgileri, SDK’yı kullanan “her bankacılık ve finansal uygulamaya” ait özel kimlik doğrulama verilerini ve anahtarlarını ortaya çıkarabileceği iddia edildi.
Güvenlik açığının tam kapsamı nedir?
Buna ek olarak, savunmasız SDK’yı kullanan araştırmacılar, adlar ve doğum tarihleri gibi kişisel verilerin yanı sıra, bulutta kimlik doğrulama için kullanılan kullanıcıların biyometrik dijital parmak izlerini bulabildiler.
Dahası, Synnametic’in iddialarına inanılırsa, araştırmacıların, tüm temel operasyon için kullanılan API kaynak kodunu ve AI modellerini ortaya çıkarabildikleri görülüyor.
Ancak sorun, beş bankacılık uygulamasından daha derine iniyor.
Araştırmacılar, hem Android hem de iOS dahil olmak üzere 1.859’dan fazla herkese açık uygulamanın içinde AWS kimlik bilgileri bulunduğunu söyledi.
Android geliştiricileri tamamen suçsuz olmasa da, araştırma bu savunmasız uygulamaların %97’sinden fazlasının iOS tabanlı olduğunu buldu.
Bu uygulamaların dörtte üçünden fazlası (%77) özel AWS bulut hizmetlerine erişime izin veren geçerli AWS erişim belirteçleri içeriyordu ve %47’si aynı zamanda çok sayıda, genellikle milyonlarca özel dosyaya tam erişim sağlayan geçerli AWS belirteçlerini içeriyordu. Amazon Basit Depolama Hizmeti (Amazon S3).
Bunu nasıl önleyebilirim?
Araştırmacılar, bu tür güvenlik açıklarının nasıl azaltılacağı konusunda bazı ipuçları verdiler.
Bunlar, uygulama geliştirme yaşam döngüsüne güvenlik tarama çözümlerinin eklenmesini ve dış kaynaklı bir sağlayıcı kullanılıyorsa, mobil uygulama “rapor kartlarının” istenmesini ve gözden geçirilmesini içeriyordu; bu kartlar, bir mobil uygulamanın her sürümü için istenmeyen uygulama davranışlarını veya güvenlik açıklarını tanımlayabilir.
Bir uygulama geliştiricisi olarak araştırmacılar, uygulamanızdaki hem SDK’ları hem de çerçeveleri tarayan ve tüm güvenlik açıklarının veya istenmeyen davranışların kaynağını tanımlayan bir rapor kartı aramanızı önerdi.