Mer än 1 800 Android- och iOS-appar utgör risker för dataläckor

24 1 minute read
cybersécurité faille vulnérabilité © madartzgraphics / Pixabay
cybersäkerhetsfel sårbarhet © madartzgraphics / Pixabay

Företaget Symantec, specialiserat på cybersäkerhet, slår larm om enkel tillgång till miljontals privat information i ett stort antal applikationer, främst under iOS.

Felet skulle i synnerhet komma från återanvändning av giltiga Amazon Web Services (AWS)-tokens som skulle ge tillgång till ett mycket bredare utbud av information än vad de ursprungligen var avsedda för.

Ett problem med leveranskedjan

Symantec har listat 1 859 applikationer, 98 % av dem på iOS, med stora säkerhetsbrister orsakade av återanvändning av hårdkodade Amazon Web Services-tokens. Faktum är att i 53 % av de applikationer som granskats av Symantec, finner vi återanvändning av samma AWS-referenser, vilket ökar sårbarheten för denna data tiofaldigt. För Symantec kommer problemet från försörjningskedjan, särskilt mjukvaruutvecklingskit (SDK), under kodningen av applikationerna.

Som företaget förklarar, om AWS-koden bara ger tillgång till en enda fil som finns i S3, är sårbarheten minimal, men så är inte fallet här. Bland exemplen tillåter en SDK som används av ett B2B-företag inte bara åtkomst till sin plattform för sina kunder, utan till alla molninfrastrukturnycklar från samma företag. Enligt Symantec skulle uppgifterna från mer än 15 000 stora och medelstora företag som är registrerade där oavsiktligt exponeras, med information om såväl kunder som anställda, eller till och med ekonomiska register.

Hur kom vi hit ? Symantec förklarar att ” företaget har hårdkodat AWS-åtkomsttoken för att komma åt AWS-översättningstjänsten. Men istället för att begränsa användningen av den hårdkodade åtkomsttokenen med översättningsmolntjänsten, hade alla med token full och obegränsad tillgång till alla B2B-företagets AWS molntjänster.. »

Massor av känslig information i riskzonen

Även om detta kan vara mestadels oavsiktligt från utvecklarnas sida, ökar återanvändningen av dessa tokens som öppnar för total tillgång till data på hundratals olika applikationer exponentiellt risken för läckage. Under sin analys hävdar Symantec att 47 % av de applikationer som kontrolleras har AWS-tokens som inte bara ger åtkomst till de filer som önskas under kodning, till exempel i ett privat molnutrymme, utan till miljontals filer som finns i Amazon. Single Storage Service (S3) ).

Andra exempel illustrerar allvaret i situationen. Användningen av den sårbara AI Digital Identity SDK av fem samma bankinstitutsapplikationer ledde till exponeringen av biometriska data, här fingeravtrycken, från mer än 300 000 registrerade personer. Den goda nyheten är att Symantec redan har larmat alla berörda strukturer.

Källor: Hacker News, Symantec

Tags
24 1 minute read

Relaterade Artiklar

Google Chrome application error 0xc0000005

Applikationsfel: Applikationen kunde inte initiera 0xc0000005 korrekt

Windows Update Error 0x80246010

Åtgärda Windows Update Error 0x80246010 på Windows 10

Free poursuit son recrutement d

Vad är Stancer, “betalningsrevolutionen” enligt Iliad (gratis)?

Disable Camera on Windows 10-Group Policy

Hur man inaktiverar kameran med hjälp av grupprincip eller registerredigerare

Lär dig mer om SEO för Bloggande Och Mobil Recensioner  |  © Copyright 2023, All Rights Reserved
Back to top button