安裝量超過(guò)1億的40款應(yīng)用程序被發(fā)現(xiàn)泄漏AWS密鑰
大多數(shù)手機(jī)應(yīng)用用戶(hù)傾向于盲目地相信他們從應(yīng)用商店下載的應(yīng)用是安全的,但實(shí)際情況并非總是如此。
為了大規(guī)模介紹這些漏洞并方便用戶(hù)進(jìn)行識(shí)別,網(wǎng)絡(luò)安全和機(jī)器智能公司CloudSEK最近提供了一個(gè)名為BeVigil的平臺(tái),用戶(hù)可以在安裝應(yīng)用程序之前搜索和檢查應(yīng)用程序的安全評(píng)級(jí)和其他安全問(wèn)題。
與The Hacker News共享的最新報(bào)告詳細(xì)說(shuō)明了BeVigil搜索引擎是如何識(shí)別40多個(gè)應(yīng)用程序(累計(jì)下載量超過(guò)1億次),這些應(yīng)用程序中嵌入了硬編碼的Amazon Web Services(AWS)專(zhuān)用密鑰,從而將其內(nèi)部網(wǎng)絡(luò)和用戶(hù)數(shù)據(jù)面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。
BeVigil發(fā)現(xiàn)流行的應(yīng)用程序泄漏了AWS密鑰
AWS密鑰泄漏已在一些主要應(yīng)用程序中被發(fā)現(xiàn),例如Adobe Photoshop Fix,Adobe Comp,Hootsuite,IBM的Weather Channel以及在線購(gòu)物服務(wù)Club Factory和Wholee。這些結(jié)果是對(duì)提交給CloudSEK的移動(dòng)應(yīng)用安全搜索引擎BeVigil的1萬(wàn)多個(gè)應(yīng)用程序進(jìn)行分析后得出的。
CloudSEK研究人員表示:
- 在移動(dòng)應(yīng)用程序源代碼中硬編碼的AWS密鑰可能是一個(gè)巨大的漏洞,特別是如果(身份和訪問(wèn)管理)角色具有廣泛的范圍和權(quán)限。誤用的可能性非常大且攻擊的危害性非常大,因?yàn)楣艨梢枣溄樱粽呖梢赃M(jìn)一步訪問(wèn)整個(gè)基礎(chǔ)設(shè)施,甚至代碼庫(kù)和配置。
CloudSEK表示,它負(fù)責(zé)任地向AWS和受影響的公司獨(dú)立披露了這些安全問(wèn)題。
在總部位于班加羅爾的網(wǎng)絡(luò)安全公司分析的應(yīng)用程序中,公開(kāi)的AWS密鑰可以訪問(wèn)多個(gè)AWS服務(wù),包括S3存儲(chǔ)服務(wù)的憑據(jù),這反過(guò)來(lái)又可以訪問(wèn)88個(gè)存儲(chǔ)桶,其中包含10073444個(gè)文件和數(shù)據(jù),總計(jì)5.5 tb。
存儲(chǔ)桶中還包括源代碼、應(yīng)用程序備份、用戶(hù)報(bào)告、測(cè)試工件、配置和憑據(jù)文件,這些文件可以用來(lái)深入訪問(wèn)應(yīng)用程序的基礎(chǔ)設(shè)施,包括用戶(hù)數(shù)據(jù)庫(kù)。
從互聯(lián)網(wǎng)訪問(wèn)的錯(cuò)誤配置AWS實(shí)例是最近許多數(shù)據(jù)泄漏的原因。2019年10月,網(wǎng)絡(luò)安全公司Imperva披漏,在2017年開(kāi)始的一次客戶(hù)數(shù)據(jù)庫(kù)云遷移失敗后,其云防火墻產(chǎn)品的一部分用戶(hù)的信息可以在網(wǎng)上訪問(wèn)。
上個(gè)月, 印度股票交易平臺(tái) Upstox 發(fā)布公告稱(chēng)遭受黑客攻擊,發(fā)生了嚴(yán)重的數(shù)據(jù)泄露事件,數(shù)百萬(wàn)客戶(hù)的個(gè)人信息可能已經(jīng)被竊取。泄漏數(shù)據(jù)包括:客戶(hù)的姓名,聯(lián)系信息,出生日期,銀行帳戶(hù)信息以及數(shù)百萬(wàn)個(gè)KYC(Know Your Customer)詳細(xì)信息,Upstox 認(rèn)為這些信息是 ShinyHunters 黑客團(tuán)伙在訪問(wèn)公司的 Amazon AWS 密鑰后盜用的。經(jīng)分析,是Upstox配置了錯(cuò)誤的AWS S3存儲(chǔ)桶。對(duì) KYC 數(shù)據(jù)的泄露尤其嚴(yán)重,因?yàn)樗赡馨矸葑C,護(hù)照,帶照片的身份證件以及其他文件的掃描件,這些文件可以證明個(gè)人的住所,例如水電費(fèi)賬單。此類(lèi)信息可幫助金融組織確定客戶(hù)的真實(shí)身份,并打擊洗錢(qián)和資助恐怖主義行為,但如果這些信息落入不法份子之手,則可能被身份盜用者和騙子濫用。
Bevigil首席技術(shù)官Shahrukh Ahmad說(shuō):
- 硬編碼API密鑰就像給你的房子加了鎖,但將密鑰留在標(biāo)有'請(qǐng)勿打開(kāi)'的信封中。這些密鑰很容易被惡意黑客或競(jìng)爭(zhēng)對(duì)手發(fā)現(xiàn),他們可以使用它們來(lái)破壞其數(shù)據(jù)和網(wǎng)絡(luò)。
什么是BeVigil,它是如何工作的?
BeVigil是一個(gè)移動(dòng)安全搜索引擎,它允許研究人員搜索應(yīng)用的元數(shù)據(jù),審查他們的代碼,查看安全報(bào)告和風(fēng)險(xiǎn)評(píng)分,甚至掃描新的APK。
移動(dòng)應(yīng)用程序已成為許多最近的供應(yīng)鏈攻擊的目標(biāo),攻擊者將惡意代碼注入到應(yīng)用程序開(kāi)發(fā)人員使用的SDK中。安全團(tuán)隊(duì)可以依靠BeVigil來(lái)識(shí)別使用惡意SDK的任何惡意應(yīng)用。通過(guò)使用元數(shù)據(jù)搜索,安全研究人員可以對(duì)網(wǎng)絡(luò)上的各種應(yīng)用程序進(jìn)行深入調(diào)查。BeVigil生成的掃描報(bào)告可供整個(gè)CloudSEK社區(qū)使用。總之,對(duì)于消費(fèi)者和安全研究人員來(lái)說(shuō),它有點(diǎn)像VirusTotal。
你可以在BeVigil中尋找什么?
你可以在數(shù)以百萬(wàn)計(jì)的應(yīng)用程序中搜索易受攻擊的代碼片段或關(guān)鍵字,以了解哪些應(yīng)用程序包含這些代碼。這樣,研究人員可以輕松分析質(zhì)量數(shù)據(jù),關(guān)聯(lián)威脅并處理誤報(bào)。
除了通過(guò)簡(jiǎn)單地輸入名稱(chēng)來(lái)搜索特定應(yīng)用程序外,還可以找到整個(gè)應(yīng)用程序列表:
- 來(lái)自哪個(gè)開(kāi)發(fā)組織;
- 高于或低于一定的安全評(píng)分;例如,安全得分為7的信用應(yīng)用程序;
- 在特定時(shí)間段內(nèi)發(fā)布(選擇“開(kāi)始”和“結(jié)束”日期),例如,確定2021年發(fā)布的信用應(yīng)用;
- 來(lái)自48個(gè)不同類(lèi)別,例如金融、教育、工具、健康與健身等;
- 通過(guò)搜索特定開(kāi)發(fā)者的電子郵件地址;
- 通過(guò)搜索在特定國(guó)家/地區(qū)開(kāi)發(fā)的程序,例如,識(shí)別來(lái)自德國(guó)的銀行應(yīng)用;
- 通過(guò)搜索個(gè)人識(shí)別碼或開(kāi)發(fā)者電子郵件地址在特定位置開(kāi)發(fā)的應(yīng)用;
- 在后臺(tái)錄制音頻;
- 在后臺(tái)記錄位置;
- 可以訪問(wèn)攝像頭設(shè)備;
- 可以訪問(wèn);設(shè)備上的特定權(quán)限;
- 使用特定的目標(biāo)SDK版本;
- 除此之外,還可以使用正則表達(dá)式通過(guò)查找代碼模式來(lái)查找具有安全漏洞的應(yīng)用程序;
本文翻譯自:https://thehackernews.com/2021/05/over-40-apps-with-more-than-100-million.html如若轉(zhuǎn)載,請(qǐng)注明原文地址。
