Aplikacije sa milionima preuzimanja otkrivaju osjetljive podatke na cloud platformama

Milioni korisnika mobilnih aplikacija izloženi su riziku zbog otkrivenih cloud kredencijala unutar aplikacija.

Redakcija
Objavio Redakcija 2 min za čitanje
iOS Store i Google Playstore (Foto: Cybersecurity.ba)

Više popularnih mobilnih aplikacija, od kojih neke imaju milione preuzimanja, izložilo je nekriptovane cloud kredencijale unutar svog izvornog koda, upozoravaju istraživači iz Symanteca. Ova praksa omogućava svima koji imaju pristup binarnom ili izvornom kodu aplikacije da iskoriste ove podatke i zloupotrijebe cloud infrastrukturu.

Prema istraživanju, aplikacije za Android i iPhone uređaje sadrže kredencijale za platforme poput Amazon Web Services (AWS) i Microsoft Azure Blog Storage, što je Symantec otkrio u svom nedavnom blogu. Te aplikacije su dostupne na zvaničnim prodavnicama aplikacija Google Play i Apple App Store.

“Ovakva praksa otvara vrata za ozbiljne sigurnosne propuste, jer svako ko ima pristup kodu aplikacije može doći do ovih kredencijala i potencijalno manipulisati ili eksfiltrirati podatke,” istakli su inženjeri iz Symanteca.

Štaviše, “raširenost” ovih ranjivosti kod aplikacija na iOS i Android platformama naglašava hitnu potrebu za sigurnijim razvojnim praksama kada su u pitanju mobilne aplikacije, dodaju istraživači.

Ozbiljne ranjivosti u iOS aplikacijama

Istraživanje Symanteca je pokazalo da su iOS aplikacije posebno ranjive, uključujući popularne aplikacije kao što su Crumbl, koja ima preko 3,9 miliona ocjena, i Eureka: Earn Money for Surveys and Videoshop. Ove aplikacije koriste nekriptovane AWS kredencijale direktno unutar svog koda, omogućavajući potencijalnim napadačima pristup kritičnim cloud resursima.

Ranjivosti kod Android aplikacija

Istraživači su otkrili slične ranjivosti u nekoliko popularnih Android aplikacija, uključujući Meru Cabs i Sulekha Business. Obje aplikacije imaju više miliona preuzimanja i sadrže Azure kredencijale, izlažući važne cloud resurse zloupotrebama.

Podijeli ovaj članak