Više popularnih mobilnih aplikacija, od kojih neke imaju milione preuzimanja, izložilo je nekriptovane cloud kredencijale unutar svog izvornog koda, upozoravaju istraživači iz Symanteca. Ova praksa omogućava svima koji imaju pristup binarnom ili izvornom kodu aplikacije da iskoriste ove podatke i zloupotrijebe cloud infrastrukturu.
Prema istraživanju, aplikacije za Android i iPhone uređaje sadrže kredencijale za platforme poput Amazon Web Services (AWS) i Microsoft Azure Blog Storage, što je Symantec otkrio u svom nedavnom blogu. Te aplikacije su dostupne na zvaničnim prodavnicama aplikacija Google Play i Apple App Store.
“Ovakva praksa otvara vrata za ozbiljne sigurnosne propuste, jer svako ko ima pristup kodu aplikacije može doći do ovih kredencijala i potencijalno manipulisati ili eksfiltrirati podatke,” istakli su inženjeri iz Symanteca.
Štaviše, “raširenost” ovih ranjivosti kod aplikacija na iOS i Android platformama naglašava hitnu potrebu za sigurnijim razvojnim praksama kada su u pitanju mobilne aplikacije, dodaju istraživači.
Ozbiljne ranjivosti u iOS aplikacijama
Istraživanje Symanteca je pokazalo da su iOS aplikacije posebno ranjive, uključujući popularne aplikacije kao što su Crumbl, koja ima preko 3,9 miliona ocjena, i Eureka: Earn Money for Surveys and Videoshop. Ove aplikacije koriste nekriptovane AWS kredencijale direktno unutar svog koda, omogućavajući potencijalnim napadačima pristup kritičnim cloud resursima.
Ranjivosti kod Android aplikacija
Istraživači su otkrili slične ranjivosti u nekoliko popularnih Android aplikacija, uključujući Meru Cabs i Sulekha Business. Obje aplikacije imaju više miliona preuzimanja i sadrže Azure kredencijale, izlažući važne cloud resurse zloupotrebama.