Бесплатно Экспресс-аудит сайта:

02.09.2022

Более 1800 мобильных приложений раскрывают личные данные клиентов крупных компаний и разработчиков

Исследователи Symantec выявили 1859 приложений для Android и iOS, содержащих жестко запрограммированные учетные данные Amazon Web Services ( AWS ), что представляет большую угрозу безопасности для пользователей.

77% приложений содержат действительные токены авторизации AWS, позволяющие получить доступ к частным облачным сервисам AWS. Около 50% приложений различных разработчиков используют одни и те же токены доступа AWS, что указывает на уязвимость цепочки поставок.

Учетные данные AWS обычно используются для загрузки соответствующих ресурсов, необходимых для функций приложения, а также для доступа к файлам конфигурации и аутентификации в других облачных службах.

Более того, 47% обнаруженных приложений содержат действительные токены AWS, которые предоставляют полный доступ ко всем частным файлам и корзинам Amazon Simple Storage Service (S3) в облаке, включая файлы инфраструктуры и резервные копии данных.

В одном случае неназванная B2B-компания, которая предоставила своим клиентам комплект для разработки мобильного ПО (Software Development Kit, SDK), имела свои ключи облачной инфраструктуры, встроенные в SDK для доступа к службе перевода.

Это привело к раскрытию всех личных данных клиентов, которые включали корпоративные данные и финансовые отчеты, принадлежащие более чем 15 000 компаний среднего и крупного бизнеса.

Также были обнаружены 5 банковских iOS-приложений, которые использовали SDK, содержащий облачные учетные данные, что привело к утечке информации об отпечатках пальцев более 300 000 пользователей. Исследователи предупредили организации о найденных проблемах в приложениях.