Os alarmes estão sendo disparados pela Symantec, uma organização de segurança cibernética, sobre a facilidade com que milhões de informações privadas de pessoas podem ser acessadas por meio de vários aplicativos, principalmente aqueles que executam iOS.

O problema surgiria especificamente da reutilização de tokens válidos da Amazon Web Services (AWS). O que concederia acesso a um grande número de informações.

A reutilização de tokens codificados da Amazon Web Services foi identificada como uma vulnerabilidade de segurança grave em 1.859 aplicativos, 98% dos quais são baseados em iOS. De fato, descobrimos a reutilização das mesmas credenciais da AWS em 53% dos aplicativos testados pela Symantec. Aumentando em dez vezes o perigo desses dados. Para a Symantec, o problema decorre da cadeia de suprimentos, principalmente ao desenvolver aplicativos usando kits de desenvolvimento de software (SDKs).

Aplicativos para Android e iOS apresentam riscos de vazamento de dados

De acordo com a empresa, a vulnerabilidade é limitada se o código da AWS permitir acesso apenas a um único arquivo presente no Amazon Simple Storage Service (S3), mas não é o caso nesta instância. Uma das instâncias é o SDK de uma empresa B2B. O que dá aos clientes acesso a todas as chaves de infraestrutura em nuvem da empresa, além de sua plataforma. Existem mais de 15.000 grandes e médias empresas listadas lá. E a Symantec afirma que informações sobre clientes e funcionários, bem como registros financeiros, podem acidentalmente ser objeto de vazamentos.

De acordo com Symantec, “para acessar o serviço de tradução da AWS, a empresa codificou o token de acesso da AWS. Qualquer pessoa com o token de acesso codificado, no entanto, tinha acesso completo e irrestrito a todos os serviços de nuvem AWS da empresa B2B, em vez de apenas ao serviço de nuvem de tradução.

A reutilização desses tokens, que concede acesso completo a dados em diferentes aplicativos, aumenta drasticamente o perigo de vazamento. Mesmo que possa ser principalmente inadvertido do lado dos desenvolvedores. De acordo com a investigação da Symantec, 47% dos aplicativos avaliados incluem tokens da AWS. Que não apenas concedem acesso aos arquivos necessários para codificação, como aqueles em uma área de nuvem privada. Mas também aos milhões de arquivos mantidos pela Amazon (S3).

Source/VIA:

Categories: IT Info