安裝量超過1億的40款應(yīng)用程序被發(fā)現(xiàn)泄漏AWS密鑰

大多數(shù)手機(jī)應(yīng)用用戶傾向于盲目地相信他們從應(yīng)用商店下載的應(yīng)用是安全的，但實(shí)際情況并非總是如此。

為了大規(guī)模介紹這些漏洞并方便用戶進(jìn)行識(shí)別，網(wǎng)絡(luò)安全和機(jī)器智能公司CloudSEK最近提供了一個(gè)名為BeVigil的平臺(tái)，用戶可以在安裝應(yīng)用程序之前搜索和檢查應(yīng)用程序的安全評(píng)級(jí)和其他安全問題。

與The Hacker News共享的最新報(bào)告詳細(xì)說明了BeVigil搜索引擎是如何識(shí)別40多個(gè)應(yīng)用程序（累計(jì)下載量超過1億次），這些應(yīng)用程序中嵌入了硬編碼的Amazon Web Services（AWS）專用密鑰，從而將其內(nèi)部網(wǎng)絡(luò)和用戶數(shù)據(jù)面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

BeVigil發(fā)現(xiàn)流行的應(yīng)用程序泄漏了AWS密鑰

AWS密鑰泄漏已在一些主要應(yīng)用程序中被發(fā)現(xiàn)，例如Adobe Photoshop Fix，Adobe Comp，Hootsuite，IBM的Weather Channel以及在線購(gòu)物服務(wù)Club Factory和Wholee。這些結(jié)果是對(duì)提交給CloudSEK的移動(dòng)應(yīng)用安全搜索引擎BeVigil的1萬(wàn)多個(gè)應(yīng)用程序進(jìn)行分析后得出的。

CloudSEK研究人員表示:

在移動(dòng)應(yīng)用程序源代碼中硬編碼的AWS密鑰可能是一個(gè)巨大的漏洞，特別是如果(身份和訪問管理)角色具有廣泛的范圍和權(quán)限。誤用的可能性非常大且攻擊的危害性非常大，因?yàn)楣艨梢枣溄?，攻擊者可以進(jìn)一步訪問整個(gè)基礎(chǔ)設(shè)施，甚至代碼庫(kù)和配置。

CloudSEK表示，它負(fù)責(zé)任地向AWS和受影響的公司獨(dú)立披露了這些安全問題。

在總部位于班加羅爾的網(wǎng)絡(luò)安全公司分析的應(yīng)用程序中，公開的AWS密鑰可以訪問多個(gè)AWS服務(wù)，包括S3存儲(chǔ)服務(wù)的憑據(jù)，這反過來(lái)又可以訪問88個(gè)存儲(chǔ)桶，其中包含10073444個(gè)文件和數(shù)據(jù)，總計(jì)5.5 tb。

存儲(chǔ)桶中還包括源代碼、應(yīng)用程序備份、用戶報(bào)告、測(cè)試工件、配置和憑據(jù)文件，這些文件可以用來(lái)深入訪問應(yīng)用程序的基礎(chǔ)設(shè)施，包括用戶數(shù)據(jù)庫(kù)。

從互聯(lián)網(wǎng)訪問的錯(cuò)誤配置AWS實(shí)例是最近許多數(shù)據(jù)泄漏的原因。2019年10月，網(wǎng)絡(luò)安全公司Imperva披漏，在2017年開始的一次客戶數(shù)據(jù)庫(kù)云遷移失敗后，其云防火墻產(chǎn)品的一部分用戶的信息可以在網(wǎng)上訪問。

上個(gè)月,印度股票交易平臺(tái)Upstox發(fā)布公告稱遭受黑客攻擊，發(fā)生了嚴(yán)重的數(shù)據(jù)泄露事件，數(shù)百萬(wàn)客戶的個(gè)人信息可能已經(jīng)被竊取。泄漏數(shù)據(jù)包括：客戶的姓名，聯(lián)系信息，出生日期，銀行帳戶信息以及數(shù)百萬(wàn)個(gè)KYC（Know Your Customer）詳細(xì)信息，Upstox認(rèn)為這些信息是ShinyHunters黑客團(tuán)伙在訪問公司的Amazon AWS密鑰后盜用的。經(jīng)分析，是Upstox配置了錯(cuò)誤的AWS S3存儲(chǔ)桶。對(duì)KYC數(shù)據(jù)的泄露尤其嚴(yán)重，因?yàn)樗赡馨矸葑C，護(hù)照，帶照片的身份證件以及其他文件的掃描件，這些文件可以證明個(gè)人的住所，例如水電費(fèi)賬單。此類信息可幫助金融組織確定客戶的真實(shí)身份，并打擊洗錢和資助恐怖主義行為，但如果這些信息落入不法份子之手，則可能被身份盜用者和騙子濫用。

Bevigil首席技術(shù)官Shahrukh Ahmad說:

硬編碼API密鑰就像給你的房子加了鎖，但將密鑰留在標(biāo)有'請(qǐng)勿打開'的信封中。這些密鑰很容易被惡意黑客或競(jìng)爭(zhēng)對(duì)手發(fā)現(xiàn)，他們可以使用它們來(lái)破壞其數(shù)據(jù)和網(wǎng)絡(luò)。

什么是BeVigil，它是如何工作的?

BeVigil是一個(gè)移動(dòng)安全搜索引擎，它允許研究人員搜索應(yīng)用的元數(shù)據(jù)，審查他們的代碼，查看安全報(bào)告和風(fēng)險(xiǎn)評(píng)分，甚至掃描新的APK。

移動(dòng)應(yīng)用程序已成為許多最近的供應(yīng)鏈攻擊的目標(biāo)，攻擊者將惡意代碼注入到應(yīng)用程序開發(fā)人員使用的SDK中。安全團(tuán)隊(duì)可以依靠BeVigil來(lái)識(shí)別使用惡意SDK的任何惡意應(yīng)用。通過使用元數(shù)據(jù)搜索，安全研究人員可以對(duì)網(wǎng)絡(luò)上的各種應(yīng)用程序進(jìn)行深入調(diào)查。BeVigil生成的掃描報(bào)告可供整個(gè)CloudSEK社區(qū)使用?？傊?，對(duì)于消費(fèi)者和安全研究人員來(lái)說，它有點(diǎn)像VirusTotal。

你可以在BeVigil中尋找什么?

你可以在數(shù)以百萬(wàn)計(jì)的應(yīng)用程序中搜索易受攻擊的代碼片段或關(guān)鍵字，以了解哪些應(yīng)用程序包含這些代碼。這樣，研究人員可以輕松分析質(zhì)量數(shù)據(jù)，關(guān)聯(lián)威脅并處理誤報(bào)。

除了通過簡(jiǎn)單地輸入名稱來(lái)搜索特定應(yīng)用程序外，還可以找到整個(gè)應(yīng)用程序列表：

·來(lái)自哪個(gè)開發(fā)組織；

·高于或低于一定的安全評(píng)分；例如，安全得分為7的信用應(yīng)用程序；

·在特定時(shí)間段內(nèi)發(fā)布（選擇"開始"和"結(jié)束"日期），例如，確定2021年發(fā)布的信用應(yīng)用；

·來(lái)自48個(gè)不同類別，例如金融、教育、工具、健康與健身等；

·通過搜索特定開發(fā)者的電子郵件地址；

·通過搜索在特定國(guó)家/地區(qū)開發(fā)的程序，例如，識(shí)別來(lái)自德國(guó)的銀行應(yīng)用；

·通過搜索個(gè)人識(shí)別碼或開發(fā)者電子郵件地址在特定位置開發(fā)的應(yīng)用；

·在后臺(tái)錄制音頻；

·在后臺(tái)記錄位置；

·可以訪問攝像頭設(shè)備；

·可以訪問；設(shè)備上的特定權(quán)限；

·使用特定的目標(biāo)SDK版本；

·除此之外，還可以使用正則表達(dá)式通過查找代碼模式來(lái)查找具有安全漏洞的應(yīng)用程序；

本文翻譯自：https://thehackernews.com/2021/05/over-40-apps-with-more-than-100-million.html