News

iOS, centinaia di app potrebbero aver trapelato credenziali AWS

È stato scoperto che centinaia di app mobile stanno perdendo le credenziali di Amazon Web Services (AWS). Secondo una recente indagine di Symantec, ci sono 1.859 app disponibili pubblicamente, il 98% delle quali sono app iOS, che includono credenziali AWS hardcoded, mettendo potenzialmente in pericolo i tuoi dati.

La società ha scoperto che oltre tre quarti (77%) delle app disponeva di token di accesso AWS validi che consentivano l’accesso a servizi cloud AWS privati ​​e quasi la metà (47%) disponeva di token AWS validi che davano anche pieno accesso a numerosi, spesso milioni di file privati ​​tramite Amazon Simple Storage Service (Amazon S3).

iOS, non è chiaro se i problemi siano stati risolti

Secondo il ricercatore di sicurezza Kevin Watkins, alcune delle cause delle vulnerabilità includono l’uso sconosciuto di librerie software esterne vulnerabili e SDK, l’esternalizzazione dello sviluppo di app e la collaborazione tra team, che potrebbero presentare numerose opportunità per informazioni mancanti e comunicazioni inefficaci.

L’esame si concentra su tre esempi reali

di aziende danneggiate. Il primo, un provider B2B senza nome di una piattaforma intranet e di comunicazione, aveva offerto ai propri clienti un SDK mobile che esponeva le chiavi dell’infrastruttura cloud dell’azienda, esponendo i record finanziari e i dati riservati.

Il secondo esempio fa riferimento a una manciata di app bancarie iOS che hanno esternalizzato l’ID digitale e i componenti di autenticazione. Le informazioni personali, inclusi nomi e date di nascita, sono state rese pubbliche per gli utenti SDK interessati. Inoltre, cinque app bancarie hanno fatto trapelare oltre 300.000 impronte digitali biometriche.

Infine, è stato scoperto che una società di ospitalità e intrattenimento che aveva collaborato con un’altra società per condividere la sua piattaforma tecnologica stava esponendo dati aziendali e dei consumatori da una libreria utilizzata da 16 app distinte. I risultati della ricerca sono stati comunicati alle aziende coinvolte, tuttavia non è chiaro se i difetti siano stati risolti immediatamente.

Condividi
Pubblicato da
Michele Ragone