Учётные данные AWS могут раскрыть сотни приложений iOS

Обнаружена утечка учетных данных Amazon Web Services (AWS) из сотен мобильных приложений.

Учётные данные AWS могут раскрыть сотни приложений iOS. Фото: СС0

Недавний анализ Symantec выявил 1859 общедоступных приложений, 98% из которых являются приложениями для iOS с учетные данные AWS, что подвергает риску аккаунты пользователей.

Компания обнаружила, что более трех четвертей (77%) приложений содержат действительные токены AWS, обеспечивающие доступ к частным облачным сервисам AWS, и почти половина (47%) содержат действительные токены AWS, которые предоставляют полный доступ к многочисленным личным файлам через Amazon Simple Storage Service (Amazon S3).

Некоторые из причин уязвимостей, по словам исследователя безопасности Кевина Уоткинса, включают в себя использование уязвимых внешних программных библиотек и SDK, аутсорсинг разработки приложений и сотрудничество между командами, которые могут допустить потерю информации.

Анализ содержит три реальных примера пострадавших компаний. В первом случае неназванная компания B2B предоставила своим клиентам мобильный SDK, который раскрывал ключи облачной инфраструктуры компании, в том числе финансовые записи и личные данные.

Во втором примере упоминается ряд банковских приложений для iOS, которые передали на аутсорсинг компонент цифрового удостоверения личности и аутентификации своих соответствующих приложений. Личные данные затронутых пользователей этого SDK, включая имена и даты рождения, были раскрыты. Кроме того, пять банковских приложений рассекретили более 300 тыс. биометрических цифровых отпечатков пальцев.

Наконец, было обнаружено, что компания, занимающаяся гостиничным бизнесом и развлечениями, объединилась с другой компанией для совместного использования своей технологической платформы. В результате слияния были раскрыты данные о бизнесе и клиентах из библиотеки, которая использовалась 16 различными приложениями.

Результаты исследования были переданы участвующим компаниям, однако пока неизвестно, были ли проблемы оперативно устранены.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме