Многие популярные приложения для iOS и Android содержат жестко закодированные, незашифрованные учетные данные для облачных сервисов, включая Amazon Web Services (AWS) и Microsoft Azure Blob Storage, предупреждают в Symantec. В результате пользовательские данные и исходный код уязвимы перед потенциальными злоумышленниками.
Исследователи объясняют, что утечка таких ключей может дать злоумышленникам несанкционированный доступ к хранилищам и базам данных с конфиденциальными данными, и в целом является грубым нарушением безопасности. При этом отмечается, что в основном ключи попадают в кодовые базы приложений из-за ошибок, халатности и плохих практик разработчиков.
«Эта опасная ситуация, ведь любой человек, имеющий доступ к бинарному или исходному коду приложений, сможет извлечь эти учетные данные и использовать их для манипулирования данными или их кражи, что приведет к серьезным нарушениям безопасности», — говорят специалисты.
Эксперты обнаружили учетные данные от облачных сервисов в следующих приложениях в магазине Google Play:
- Pic Stitch (более 5 млн загрузок) — жестко закодированные учетные данные Amazon;
- Meru Cabs (более 5 млн загрузок) — жестко закодированные учетные данные Amazon;
- ReSound Tinnitus Relief (более 500 000 загрузок) — жестко закодированные учетные данные Microsoft Azure Blob Storage;
- Saludsa (более 100 000 загрузок) — жестко закодированные учетные данные Microsoft Azure Blob Storage;
- Chola Ms Break In (более 100 000 загрузок) — жестко закодированные учетные данные Microsoft Azure Blob Storage;
- EatSleepRIDE Motorcycle GPS (более 100 000 загрузок) — жестко закодированные учетные данные Twilio;
- Beltone Tinnitus Calmer (более 100 000 загрузок) — жестко закодированные учетные данные Microsoft Azure Blob Storage.
Аналогичная проблема была найдена и в ряде популярных приложений в Apple App Store:
- Crumbl (более 3,9 млн оценок) — жестко закодированные учетные данные Amazon;
- Eureka: Earn money for surveys (более 402 100 оценок) — жестко закодированные учетные данные Amazon;
- Videoshop – Video Editor (более 357 900 оценок) — жестко закодированные учетные данные Amazon;
- Solitaire Clash: Win Real Cash (более 244 800 оценок) — жестко закодированные учетные данные Amazon;
- Zap Surveys - Earn Easy Money (более 235 000 оценок) — жестко закодированные учетные данные Amazon.
Стоит отметить, что App Store не указывает данные о количестве загрузок, но обычно их количество превышает указанное количество оценок.
Исследователи объясняют, что установка таких приложений, конечно, не означает автоматическую компрометацию устройства, однако существует риск того, что хакеры завладеют конфиденциальными данными пользователей, если разработчики приложений не примут меры и не устранят проблему.
При этом специалисты Symantec уже не в первый раз предупреждают об этой опансости. Так, еще в 2022 году исследователи писали, что обнаружили более 1800 приложений для iOS и Android, в коде которых содержатся учетные данные AWS. Причем в 77% случаев это были действительные токены доступа.
