Kaydol

Merhaba Sevgili Floodlar.com Kullanıcısı, Web sitemizde geçirdiğiniz zaman ve bu büyüleyici flood evrenine katılımınız için teşekkür ederiz. Floodların geniş dünyasıyla dolu deneyiminizi daha fazla keşfetmek için, web sitemizi sınırsız olarak kullanabilmeniz adına giriş yapmanız gerekmektedir.

Oturum aç

Merhaba Floodlar.com Kullanıcısı, İlk üç sayfayı tamamladınız, tebrikler! Ancak, floodların devamını görmek ve daha fazla interaktif deneyim yaşamak için giriş yapmanız gerekiyor. Hesabınız yoksa, hızlıca oluşturabilirsiniz. Sınırsız floodlar ve etkileşimler sizleri bekliyor. Giriş yapmayı unutmayın!

Şifremi hatırlamıyorum

Şifreniz mi unuttunuz? Endişelenmeyin! Lütfen kayıtlı e-posta adresinizi giriniz. Size bir bağlantı göndereceğiz ve bu link üzerinden yeni bir şifre oluşturabileceksiniz.

Fil Necati Masonlar Locası Subreddit Adı Nedir? Cevap: ( N31 )

Üzgünüz, flood girme izniniz yok, Flood girmek için giriş yapmalısınız.

Lütfen bu Floodun neden bildirilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Lütfen bu cevabın neden bildirilmesi gerektiğini kısaca açıklayın.

Lütfen bu kullanıcının neden rapor edilmesi gerektiğini düşündüğünüzü kısaca açıklayın.

Mobil Uygulamada Açın

Güncel Floodlar En sonuncu Nesne

1000’den fazla iOS uygulamasının sabit kodlanmış AWS kimlik bilgilerini açığa çıkardığı bulundu


iphone

Güvenlik araştırmacıları, Amazon Web Services (AWS) kimlik bilgilerini açığa çıkaran ve tedarik zincirini savunmasız hale getiren güvensiz uygulamalara dayanan mobil uygulama geliştiricileri hakkında alarm veriyor.

Kötü niyetli aktörler, özel veritabanlarına erişmek için bundan yararlanabilir, bu da veri ihlallerine ve müşterilerin kişisel verilerinin açığa çıkmasına neden olabilir.

Sorunun ölçeği

Broadcom Software’in bir parçası olan Symantec’in Threat Hunting ekibindeki araştırmacılar, çoğu iOS uygulamaları ve yalnızca 37 Android için sabit kodlanmış AWS kimlik bilgilerini içeren 1.859 uygulama buldu.

Bu uygulamaların yaklaşık %77’si, özel bulut hizmetlerine doğrudan erişim için kullanılabilecek geçerli AWS erişim belirteçleri içeriyordu.

Ayrıca 874 uygulama, bilgisayar korsanlarının milyonlarca kayıt tutan canlı hizmet veritabanlarını içeren bulut örneklerine erişmek için kullanabileceği geçerli AWS belirteçleri içeriyordu.

Bu veritabanları, uygulamanın türüne bağlı olarak genellikle kullanıcı hesabı ayrıntılarını, günlükleri, dahili iletişimi, kayıt bilgilerini ve diğer hassas verileri içerir.

Gerçek örnekler

Tehdit analistleri, raporlarında, açığa çıkan AWS belirteçlerinin savunmasız uygulamaların hem yazarları hem de kullanıcıları için feci sonuçlara yol açabileceği üç dikkate değer vakayı vurgulamaktadır.

Bir örnek, 15.000’den fazla orta ila büyük şirkete intranet ve iletişim hizmetleri sağlayan bir işletmeden işletmeye (B2B) şirkettir.

Şirketin, hizmetlerine erişmeleri için müşterilere sağladığı yazılım geliştirme kiti (SDK), platformda depolanan tüm özel müşteri verilerini açığa çıkaran AWS anahtarlarını içerir.

Başka bir durum, iOS’ta geçerli bulut kimlik bilgilerini içeren çeşitli bankacılık uygulamaları tarafından kullanılan bir üçüncü taraf dijital kimlik ve kimlik doğrulama SDK’sıdır.

Bu nedenle, adlar, doğum tarihleri ​​ve hatta biyometrik dijital parmak izi taramaları dahil olmak üzere bu bankaların tüm müşterilerinden gelen tüm kimlik doğrulama verileri bulutta açığa çıktı.

Son olarak Symantec, 16 çevrimiçi kumar uygulaması tarafından kullanılan ve tüm altyapısını ve bulut hizmetlerini yönetici düzeyinde okuma/yazma izinleriyle kullanıma sunan bir spor bahis teknolojisi platformu buldu.

Bu neden oluyor?

Sabit kodlanmış ve “unutulmuş” bulut hizmeti kimlik bilgileriyle ilgili sorun, temelde bir tedarik zinciri sorunudur, çünkü bir SDK geliştiricisinin ihmali, ona dayanan tüm uygulama ve hizmet koleksiyonunu etkileyebilir.

Mobil uygulama geliştirme, her şeyi sıfırdan oluşturmak yerine hazır bileşenlere dayanır, bu nedenle uygulama yayıncıları kullandıkları SDK’lar veya kitaplıklar üzerinde kapsamlı bir kontrol yapmazsa, projelerine bir güvenlik riski yayılabilir.

Ürünlerindeki kimlik bilgilerini sabit kodlayan geliştiricilere gelince, bu, geliştirme ve test sürecinde ve güvenlik sorunları için uygun kod incelemesini atlamada bir kolaylık meselesidir.

Bunun olmasının nedenlerine değinen Symantec, aşağıdaki olasılıkları vurgular:

  • Uygulama için gerekli varlıkları ve kaynakları, genellikle büyük medya dosyalarını, kayıtları veya görüntüleri indirme veya yükleme
  • Uygulama için yapılandırma dosyalarına erişme ve/veya cihazı kaydetme ve cihaz bilgilerini toplama ve bulutta depolama
  • Çeviri hizmetleri gibi kimlik doğrulama gerektiren bulut hizmetlerine erişme
  • Belirli bir neden yok, ölü kod yok ve/veya test için kullanılmadı ve asla kaldırılmadı

Yazılım istemciler tarafından dağıtılmaya hazır olduğunda bu kimlik bilgilerinin kaldırılmaması bir dikkatsizlik meselesidir ve güvenliği de içeren kontrol listesi tabanlı bir yayın sürecinin yokluğunun sonucudur.

İlgili Mesajlar

Yorum eklemek için giriş yapmalısınız.