Les chercheurs ont identifié 1 859 applications sur Android et iOS contenant des informations d’identification Amazon Web Services (AWS) codées en dur, ce qui pose un risque de sécurité majeur.
« Plus des trois quarts (77 %) des applications contenaient des jetons d’accès AWS valides permettant d’accéder aux services cloud AWS privés », a déclaré l’équipe Threat Hunter de Symantec, qui fait partie de Broadcom Software, dans un communiqué. rapport partagé avec The Hacker News.
Fait intéressant, un peu plus de 50 % des applications ont été trouvées en utilisant les mêmes jetons AWS trouvés dans d’autres applications maintenues par d’autres développeurs et entreprises, indiquant une vulnérabilité de la chaîne d’approvisionnement.
« Les jetons d’accès AWS pourraient être reliés à une bibliothèque partagée, à un SDK tiers ou à un autre composant partagé utilisé dans le développement des applications », ont déclaré les chercheurs.
Ces informations d’identification sont généralement utilisées pour télécharger les ressources appropriées nécessaires aux fonctions de l’application, ainsi que pour accéder aux fichiers de configuration et s’authentifier auprès d’autres services cloud.
Pire encore, 47 % des applications identifiées contenaient des jetons AWS valides qui accordaient un accès complet à tous les fichiers privés et aux compartiments Amazon Simple Storage Service (S3) dans le cloud. Cela comprenait les fichiers d’infrastructure et les sauvegardes de données, entre autres.
Dans un cas découvert par Symantec, une société B2B anonyme proposant une plate-forme intranet et de communication qui fournissait également un kit de développement logiciel mobile (SDK) à ses clients avait ses clés d’infrastructure cloud intégrées dans le SDK pour accéder au service de traduction.
Cela a entraîné l’exposition de toutes les données privées de ses clients, qui englobaient les données d’entreprise et les dossiers financiers appartenant à plus de 15 000 moyennes et grandes entreprises.
« Au lieu de limiter l’utilisation du jeton d’accès codé en dur avec le service cloud de traduction, toute personne disposant du jeton avait un accès complet et sans entrave à tous les services cloud AWS de l’entreprise B2B », ont noté les chercheurs.
Cinq applications bancaires iOS reposant sur le même SDK AI Digital Identity contenant les informations d’identification cloud ont également été découvertes, ce qui a entraîné la fuite des informations d’empreintes digitales de plus de 300 000 utilisateurs.
La société de cybersécurité a déclaré avoir alerté les organisations des problèmes découverts dans leurs applications.
Le développement intervient alors que les chercheurs de CloudSEK ont révélé que 3 207 applications mobiles exposaient les clés API Twitter en clair, dont certaines pourraient être utilisées pour obtenir un accès non autorisé aux comptes Twitter qui leur sont associés.