02.09.2022 | Более 1800 мобильных приложений раскрывают личные данные клиентов крупных компаний и разработчиков |
Исследователи Symantec выявили 1859 приложений для Android и iOS, содержащих жестко запрограммированные учетные данные Amazon Web Services ( AWS ), что представляет большую угрозу безопасности для пользователей. 77% приложений содержат действительные токены авторизации AWS, позволяющие получить доступ к частным облачным сервисам AWS. Около 50% приложений различных разработчиков используют одни и те же токены доступа AWS, что указывает на уязвимость цепочки поставок. Учетные данные AWS обычно используются для загрузки соответствующих ресурсов, необходимых для функций приложения, а также для доступа к файлам конфигурации и аутентификации в других облачных службах. Более того, 47% обнаруженных приложений содержат действительные токены AWS, которые предоставляют полный доступ ко всем частным файлам и корзинам Amazon Simple Storage Service (S3) в облаке, включая файлы инфраструктуры и резервные копии данных. В одном случае неназванная B2B-компания, которая предоставила своим клиентам комплект для разработки мобильного ПО (Software Development Kit, SDK), имела свои ключи облачной инфраструктуры, встроенные в SDK для доступа к службе перевода. Это привело к раскрытию всех личных данных клиентов, которые включали корпоративные данные и финансовые отчеты, принадлежащие более чем 15 000 компаний среднего и крупного бизнеса. Также были обнаружены 5 банковских iOS-приложений, которые использовали SDK, содержащий облачные учетные данные, что привело к утечке информации об отпечатках пальцев более 300 000 пользователей. Исследователи предупредили организации о найденных проблемах в приложениях. |
Проверить безопасность сайта