Понад 1800 програм для iOS і Android крадуть ваші дані

best-android-apps-a-1200x900.jpg - GizChina.net

Автор Fedir BUBNOV На читання 2 хв Опубліковано 03.09.2022

Symantec, організація з кібербезпеки, б’є тривогу через те, як легко отримати доступ до приватної інформації мільйонів людей через кілька програм, в основному під керуванням iOS.

Проблема виникне саме через повторне використання дійсних токенів Amazon Web Services (AWS), що дозволить отримати доступ до великої кількості інформації.

Повторне використання жорстко закодованих токенів Amazon Web Services було визначено як серйозну вразливість безпеки в 1859 програмах, 98% з яких базуються на iOS. Насправді ми виявили повторне використання тих самих облікових даних AWS у 53% програм, протестованих Symantec. У десятки разів збільшується небезпека цих даних. Для Symantec проблема виникає в ланцюжку постачання, особливо під час розробки додатків за допомогою комплектів розробки програмного забезпечення (SDK).

Програми для Android та iOS створюють ризик витоку даних

Магазин додатків

За словами компанії, вразливість обмежена, якщо код AWS дозволяє отримати доступ лише до одного файлу, наявного в Amazon Simple Storage Service (S3), однак у цьому випадку це не так. Одним із прикладів є SDK компанії B2B. Що надає клієнтам доступ до всіх ключів хмарної інфраструктури компанії на додаток до її платформи. Там перераховано понад 15 000 великих і середніх підприємств. І Symantec стверджує, що інформація як про клієнтів, так і про персонал, а також фінансові записи можуть випадково стати предметом витоку.

Згідно з Symantec, «щоб отримати доступ до служби перекладу AWS, компанія жорстко закодувала маркер доступу AWS. Проте будь-хто, хто мав жорстко закодований маркер доступу, мав повний необмежений доступ до всіх хмарних служб AWS підприємства B2B, а не лише до хмарної служби перекладу».

Повторне використання цих маркерів, які надають повний доступ до даних у різних програмах, значно підвищує небезпеку витоку. Навіть якщо це може бути насамперед ненавмисно з боку розробників. Згідно з дослідженням Symantec, 47% оцінених додатків містять маркери AWS. Вони не лише надають доступ до файлів, необхідних для кодування, наприклад, до файлів у приватній хмарі. Але також до мільйонів файлів, які зберігає Amazon (S3).

Читай також: iPhone 13 Pro: Перші проблеми з пристроєм

Нагадаємо, раніше ми писали, що Samsung випускає оновлення безпеки Galaxy S24 та Galaxy S23 у червні 2025 року, OPPO AED Україна презентувала новий смартфон A5 Pro та Забезпечення конфіденційності: Останні покращення функціональності чату в WhatsApp.

What’s your Reaction?

Cool

Happy

Shaking

Interesting

Sad

Angry

Читайте Gizchina в Google News

Более 1800 приложений для iOS и Android воруют ваши данные

Автор Fedir BUBNOV На читання 2 хв Опубліковано 03.09.2022

Symantec, организация по кибербезопасности, бьет тревогу из-за того, как легко получить доступ к частной информации миллионов людей через несколько программ, в основном под управлением iOS.

Проблема возникнет именно из-за повторного использования действительных токенов Amazon Web Services (AWS), что позволит получить доступ к большому количеству информации.

Повторное использование жестко закодированных токенов Amazon Web Services было определено как серьезная уязвимость безопасности в 1859 приложениях, 98% из которых базируются на iOS. На самом деле мы обнаружили повторное использование одних и тех же учетных данных AWS в 53% программ, протестированных Symantec. В десятки раз увеличивается опасность данных. Для Symantec проблема возникает в цепочке поставки, особенно при разработке приложений с помощью комплектов разработки программного обеспечения (SDK).

Приложения для Android и iOS создают риск утечки данных

Магазин додатків

По словам компании, уязвимость ограничена, если код AWS позволяет получить доступ только к одному файлу, имеющемуся в Amazon Simple Storage Service (S3), однако в этом случае это не так. Одним из примеров является SDK компании B2B. Что предоставляет клиентам доступ ко всем ключам облачной инфраструктуры компании в дополнение к ее платформе. Там перечислено более 15000 крупных и средних предприятий. И Symantec утверждает, что информация как о клиентах, так и о персонале, а также финансовые записи могут случайно стать предметом утечки.

Согласно Symantec, «чтобы получить доступ к службе перевода AWS, компания жестко закодировала маркер доступа AWS. Однако у тех, кто имел жестко закодированный маркер доступа, имел полный неограниченный доступ ко всем облачным службам AWS предприятия B2B, а не только к облачной службе перевода».

Повторное использование этих маркеров, предоставляющих полный доступ к данным в различных программах, значительно повышает опасность утечки. Даже если это может быть прежде всего ненамеренно со стороны разработчиков. Согласно исследованию Symantec, 47% оцененных приложений содержат маркеры AWS. Они не только предоставляют доступ к файлам, необходимым для кодирования, например, к файлам в частном облаке. Но также около миллионов файлов, которые хранит Amazon (S3).

Читай також: Huawei Mate 50/Pro/RS Porsche Design: XMAGE, Kunlun та Beidou