Er wordt alarm geslagen door Symantec, een cyberbeveiligingsorganisatie, over het gemak waarmee de privé-informatie van miljoenen mensen kan worden geopend via verschillende apps, vooral die met iOS.

Het probleem zou zich specifiek voordoen bij het hergebruik van geldige Amazon Web Services (AWS)-tokens. Dat zou toegang geven tot een groot aantal informatie.

Het hergebruik van hard-coded Amazon Web Services-tokens is geïdentificeerd als een ernstig beveiligingsprobleem in 1.859 applicaties, waarvan 98% op iOS gebaseerd zijn. We ontdekken zelfs het hergebruik van dezelfde AWS-inloggegevens in 53% van de door Symantec geteste applicaties. Vertienvoudiging van het gevaar van deze gegevens. Voor Symantec komt het probleem voort uit de toeleveringsketen, met name bij het ontwikkelen van apps met behulp van software development kits (SDK’s).

Android-en iOS-apps vormen een risico op datalekken

Volgens het bedrijf, de kwetsbaarheid is beperkt als de AWS-code slechts toegang geeft tot een enkel bestand dat aanwezig is in de Amazon Simple Storage Service (S3), maar dit is in dit geval niet het geval. Een van de voorbeelden is de SDK van een B2B-bedrijf. Dat geeft klanten naast het platform toegang tot alle cloudinfrastructuursleutels van het bedrijf. Daar staan ​​meer dan 15.000 grote en middelgrote bedrijven vermeld. En Symantec beweert dat informatie over zowel klanten als personeel, evenals financiële gegevens, per ongeluk kan worden gelekt.

Volgens Symantec,”om toegang te krijgen tot de AWS-vertaalservice, heeft het bedrijf het AWS-toegangstoken hard gecodeerd. Iedereen met het hard-coded toegangstoken had echter volledige, onbeperkte toegang tot alle AWS-cloudservices van de B2B-onderneming in plaats van alleen de vertaalcloudservice.

Het hergebruik van deze tokens, die volledige toegang verlenen gegevens over verschillende toepassingen, verhoogt het risico op lekkage aanzienlijk. Zelfs als het voornamelijk onopzettelijk is aan de kant van ontwikkelaars. Volgens het onderzoek van Symantec bevat 47% van de geëvalueerde apps AWS-tokens. Die niet alleen toegang verlenen tot de bestanden die nodig zijn voor codering, zoals die in een private cloud-ruimte. Maar ook voor de miljoenen bestanden die worden bewaard door Amazon (S3).

Source/VIA:

Categories: IT Info