Applications Android Et Ios

Les chercheurs ont identifié 1 859 applications sur Android et iOS contenant des informations d’identification Amazon Web Services (AWS) codées en dur, ce qui pose un risque de sécurité majeur.

« Plus des trois quarts (77 %) des applications contenaient des jetons d’accès AWS valides permettant d’accéder aux services cloud AWS privés », a déclaré l’équipe Threat Hunter de Symantec, qui fait partie de Broadcom Software, dans un communiqué. rapport partagé avec The Hacker News.

Fait intéressant, un peu plus de 50 % des applications ont été trouvées en utilisant les mêmes jetons AWS trouvés dans d’autres applications maintenues par d’autres développeurs et entreprises, indiquant une vulnérabilité de la chaîne d’approvisionnement.

La Cyber-Sécurité

« Les jetons d’accès AWS pourraient être reliés à une bibliothèque partagée, à un SDK tiers ou à un autre composant partagé utilisé dans le développement des applications », ont déclaré les chercheurs.

Ces informations d’identification sont généralement utilisées pour télécharger les ressources appropriées nécessaires aux fonctions de l’application, ainsi que pour accéder aux fichiers de configuration et s’authentifier auprès d’autres services cloud.

Publicité

Pire encore, 47 % des applications identifiées contenaient des jetons AWS valides qui accordaient un accès complet à tous les fichiers privés et aux compartiments Amazon Simple Storage Service (S3) dans le cloud. Cela comprenait les fichiers d’infrastructure et les sauvegardes de données, entre autres.

Dans un cas découvert par Symantec, une société B2B anonyme proposant une plate-forme intranet et de communication qui fournissait également un kit de développement logiciel mobile (SDK) à ses clients avait ses clés d’infrastructure cloud intégrées dans le SDK pour accéder au service de traduction.

Cela a entraîné l’exposition de toutes les données privées de ses clients, qui englobaient les données d’entreprise et les dossiers financiers appartenant à plus de 15 000 moyennes et grandes entreprises.

La Cyber-Sécurité

« Au lieu de limiter l’utilisation du jeton d’accès codé en dur avec le service cloud de traduction, toute personne disposant du jeton avait un accès complet et sans entrave à tous les services cloud AWS de l’entreprise B2B », ont noté les chercheurs.

Cinq applications bancaires iOS reposant sur le même SDK AI Digital Identity contenant les informations d’identification cloud ont également été découvertes, ce qui a entraîné la fuite des informations d’empreintes digitales de plus de 300 000 utilisateurs.

La société de cybersécurité a déclaré avoir alerté les organisations des problèmes découverts dans leurs applications.

Le développement intervient alors que les chercheurs de CloudSEK ont révélé que 3 207 applications mobiles exposaient les clés API Twitter en clair, dont certaines pourraient être utilisées pour obtenir un accès non autorisé aux comptes Twitter qui leur sont associés.


Rate this post
Publicité
Article précédentHow to Install Rocky Linux 9.0 Step by Step
Article suivantHappy Wheels débloqué et pourquoi vous devriez l’éviter
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici