Исследователи безопасности из Symantec рассказали, что в коде популярных мобильных приложений нашли незашифрованные ключи доступа к Amazon Web Services и Microsoft Azure Blob Storage. Это даёт возможность злоумышленникам похитить пользовательские данные и использовать их для продажи или шантажа.
Команда исследователей отмечает, что такое обычно возникает из-за халатности и невнимательности. Для удобства разработчики вставляют учётные данные прямо в код, а после релиза не удаляют их. Такой подход — грубое нарушение безопасности.
В Google Play ключи для доступа к облачным сервисам нашли в следующих приложениях:
-
Pic Stitch (более 5 млн загрузок) — учётные данные Amazon;
-
Meru Cabs (более 5 млн загрузок) — учётные данные Amazon;
-
ReSound Tinnitus Relief (более 500 000 загрузок) — учётные данные Microsoft Azure Blob Storage;
-
Saludsa (более 100 000 загрузок) — учётные данные Microsoft Azure Blob Storage;
-
Chola Ms Break In (более 100 000 загрузок) — учётные данные Microsoft Azure Blob Storage;
-
EatSleepRIDE Motorcycle GPS (более 100 000 загрузок) — учётные данные Twilio;
-
Beltone Tinnitus Calmer (более 100 000 загрузок) — учётные данные Microsoft Azure Blob Storage.
В App Store похожая ситуация, но магазин приложений Apple не показывает общее количество загрузок (обычно они в несколько раз превышают оценки):
-
Crumbl (более 3,9 млн оценок) — учётные данные Amazon;
-
Eureka: Earn money for surveys (более 402 100 оценок) — учётные данные Amazon;
-
Videoshop – Video Editor (более 357 900 оценок) — учётные данные Amazon;
-
Solitaire Clash: Win Real Cash (более 244 800 оценок) — учётные данные Amazon;
-
Zap Surveys — Earn Easy Money (более 235 000 оценок) — учётные данные Amazon.
ссылка на оригинал статьи https://habr.com/ru/articles/853466/
Добавить комментарий