Symantec, une organisation de cybersécurité, s’inquiète de la facilité avec laquelle des millions de personnes peuvent accéder aux informations privées via plusieurs applications, principalement celles exécutant iOS.
Le problème proviendrait spécifiquement de la réutilisation de jetons Amazon Web Services (AWS) valides. Ce qui donnerait accès à un grand nombre d’informations.
La réutilisation des jetons Amazon Web Services codés en dur a été identifiée comme une grave vulnérabilité de sécurité dans 1 859 applications, dont 98 % sont basées sur iOS. En effet, on découvre la réutilisation des mêmes identifiants AWS dans 53% des applications testées par Symantec. Décuplant le danger de ces données. Pour Symantec, le problème provient de la chaîne d’approvisionnement, en particulier lors du développement d’applications à l’aide de kits de développement logiciel (SDK).
Les applications Android et iOS présentent des risques de fuite de données
Selon l’entreprise, la vulnérabilité est limitée si le code AWS n’autorise l’accès qu’à un seul fichier présent dans Amazon Simple Storage Service (S3), or ce n’est pas le cas ici. L’une des instances est le SDK d’une entreprise B2B. Ce qui donne aux clients un accès à toutes les clés de l’infrastructure cloud de l’entreprise en plus de sa plateforme. Plus de 15 000 grandes et moyennes entreprises y sont répertoriées. Et Symantec affirme que les informations sur les clients et le personnel, ainsi que les dossiers financiers, pourraient accidentellement faire l’objet de fuites.
Selon Symantec,”pour accéder au service de traduction AWS, l’entreprise a codé en dur le jeton d’accès AWS. Cependant, toute personne disposant du jeton d’accès codé en dur disposait d’un accès complet et illimité à tous les services cloud AWS de l’entreprise B2B plutôt qu’au service cloud de traduction uniquement.
La réutilisation de ces jetons, qui accordent un accès complet aux données sur différentes applications, augmente considérablement le risque de fuite. Même s’il peut s’agir principalement d’une inadvertance de la part des développeurs. Selon l’enquête de Symantec, 47 % des applications évaluées incluent des jetons AWS. Qui accordent non seulement l’accès aux fichiers nécessaires au codage, tels que ceux d’une zone de cloud privé. Mais aussi aux millions de fichiers conservés par Amazon (S3).
Source/VIA: