Güvenlik araştırmacıları, Amazon Web Services (AWS) kimlik bilgilerini açığa çıkaran ve tedarik zincirini savunmasız hale getiren güvensiz uygulamalara dayanan mobil uygulama geliştiricileri hakkında alarm veriyor.
Kötü niyetli aktörler, özel veritabanlarına erişmek için bundan yararlanabilir, bu da veri ihlallerine ve müşterilerin kişisel verilerinin açığa çıkmasına neden olabilir.
Sorunun ölçeği
Broadcom Software’in bir parçası olan Symantec’in Threat Hunting ekibindeki araştırmacılar, çoğu iOS uygulamaları ve yalnızca 37 Android için sabit kodlanmış AWS kimlik bilgilerini içeren 1.859 uygulama buldu.
Bu uygulamaların yaklaşık %77’si, özel bulut hizmetlerine doğrudan erişim için kullanılabilecek geçerli AWS erişim belirteçleri içeriyordu.
Ayrıca 874 uygulama, bilgisayar korsanlarının milyonlarca kayıt tutan canlı hizmet veritabanlarını içeren bulut örneklerine erişmek için kullanabileceği geçerli AWS belirteçleri içeriyordu.
Bu veritabanları, uygulamanın türüne bağlı olarak genellikle kullanıcı hesabı ayrıntılarını, günlükleri, dahili iletişimi, kayıt bilgilerini ve diğer hassas verileri içerir.
Gerçek örnekler
Tehdit analistleri, raporlarında, açığa çıkan AWS belirteçlerinin savunmasız uygulamaların hem yazarları hem de kullanıcıları için feci sonuçlara yol açabileceği üç dikkate değer vakayı vurgulamaktadır.
Bir örnek, 15.000’den fazla orta ila büyük şirkete intranet ve iletişim hizmetleri sağlayan bir işletmeden işletmeye (B2B) şirkettir.
Şirketin, hizmetlerine erişmeleri için müşterilere sağladığı yazılım geliştirme kiti (SDK), platformda depolanan tüm özel müşteri verilerini açığa çıkaran AWS anahtarlarını içerir.
Başka bir durum, iOS’ta geçerli bulut kimlik bilgilerini içeren çeşitli bankacılık uygulamaları tarafından kullanılan bir üçüncü taraf dijital kimlik ve kimlik doğrulama SDK’sıdır.
Bu nedenle, adlar, doğum tarihleri ve hatta biyometrik dijital parmak izi taramaları dahil olmak üzere bu bankaların tüm müşterilerinden gelen tüm kimlik doğrulama verileri bulutta açığa çıktı.
Son olarak Symantec, 16 çevrimiçi kumar uygulaması tarafından kullanılan ve tüm altyapısını ve bulut hizmetlerini yönetici düzeyinde okuma/yazma izinleriyle kullanıma sunan bir spor bahis teknolojisi platformu buldu.
Bu neden oluyor?
Sabit kodlanmış ve “unutulmuş” bulut hizmeti kimlik bilgileriyle ilgili sorun, temelde bir tedarik zinciri sorunudur, çünkü bir SDK geliştiricisinin ihmali, ona dayanan tüm uygulama ve hizmet koleksiyonunu etkileyebilir.
Mobil uygulama geliştirme, her şeyi sıfırdan oluşturmak yerine hazır bileşenlere dayanır, bu nedenle uygulama yayıncıları kullandıkları SDK’lar veya kitaplıklar üzerinde kapsamlı bir kontrol yapmazsa, projelerine bir güvenlik riski yayılabilir.
Ürünlerindeki kimlik bilgilerini sabit kodlayan geliştiricilere gelince, bu, geliştirme ve test sürecinde ve güvenlik sorunları için uygun kod incelemesini atlamada bir kolaylık meselesidir.
Bunun olmasının nedenlerine değinen Symantec, aşağıdaki olasılıkları vurgular:
- Uygulama için gerekli varlıkları ve kaynakları, genellikle büyük medya dosyalarını, kayıtları veya görüntüleri indirme veya yükleme
- Uygulama için yapılandırma dosyalarına erişme ve/veya cihazı kaydetme ve cihaz bilgilerini toplama ve bulutta depolama
- Çeviri hizmetleri gibi kimlik doğrulama gerektiren bulut hizmetlerine erişme
- Belirli bir neden yok, ölü kod yok ve/veya test için kullanılmadı ve asla kaldırılmadı
Yazılım istemciler tarafından dağıtılmaya hazır olduğunda bu kimlik bilgilerinin kaldırılmaması bir dikkatsizlik meselesidir ve güvenliği de içeren kontrol listesi tabanlı bir yayın sürecinin yokluğunun sonucudur.