Cientos de aplicaciones móviles han filtrado las credenciales de Amazon Web Services (AWS).
Un análisis reciente de Symantec (se abre en una nueva pestaña) identificó 1859 aplicaciones disponibles públicamente, el 98 % de las cuales son aplicaciones de iOS, que contienen credenciales de AWS codificadas que podrían poner en riesgo sus datos.
La empresa descubrió que más de las tres cuartas partes (77 %) de las aplicaciones contenían tokens de acceso de AWS válidos que permitían el acceso a servicios privados en la nube de AWS, y casi la mitad (47 %) contenía tokens de AWS válidos que también brindaban acceso completo a muchos, a menudo millones. , de archivos privados a través de Amazon Simple Storage Service (Amazon S3).
Fugas de contraseña de AWS
Según el investigador de seguridad Kevin Watkins, algunas de las razones de las vulnerabilidades incluyen el uso desconocido de bibliotecas de software y SDK externos vulnerables, la subcontratación del desarrollo de aplicaciones y la colaboración entre equipos que podrían presentar muchas oportunidades de comunicación faltantes e ineficaces.
El análisis destaca tres ejemplos concretos de empresas afectadas. La primera, una empresa B2B anónima que proporciona una intranet y una plataforma de comunicaciones, proporcionó a sus clientes un SDK móvil que expuso las claves de la infraestructura en la nube de la empresa, exponiendo cosas como registros financieros y datos privados.
El segundo ejemplo cita una serie de aplicaciones bancarias de iOS que han subcontratado la identificación digital y el componente de autenticación de sus respectivas aplicaciones. Los datos personales de los usuarios afectados de este SDK han sido expuestos, incluidos sus nombres y fechas de nacimiento. Además, cinco aplicaciones bancarias filtraron más de 300.000 huellas dactilares biométricas.
Finalmente, una empresa de hospitalidad y entretenimiento que se asoció con otra empresa para compartir su plataforma tecnológica se encontró exponiendo datos comerciales y de clientes de una biblioteca utilizada por 16 aplicaciones diferentes.
Los resultados de la investigación se han compartido con las empresas afectadas, pero aún no se sabe si los problemas se han resuelto con efecto inmediato.
Через Bleeping Computer (откроется в новой вкладке)