大多数移动应用程序用户倾向于盲目地相信他们从应用程序商店下载的应用程序是安全的,但情况并非总是如此。为了大规模引入这些漏洞并让用户更容易识别它们,网络安全和机器智能公司CloudSEK最近提供了一个名为BeVigil的平台,用户可以在安装应用程序之前搜索和检查应用程序安全评级和其他安全问题。与黑客新闻分享的一份新报告详细介绍了BeVigil搜索引擎如何识别出40多个应用程序(累计下载量超过1亿次),这些应用程序中嵌入了硬编码的亚马逊网络服务(AWS)私钥,从而暴露其内部网络和用户数据到网络攻击的风险。BeVigil发现AWS密钥被流行的应用程序泄露AWS密钥泄漏已在一些主要应用程序中被发现,例如Adob??ePhotoshopFix、AdobeComp、Hootsuite、IBM的天气频道以及在线购物服务ClubFactory和Wholee。这些结果基于对提交给CloudSEK的移动应用程序安全搜索引擎BeVigil的10,000多个应用程序的分析。CloudSEK研究人员说:在移动应用程序源代码中硬编码的AWS密钥可能是一个巨大的漏洞,特别是如果(身份和访问管理)角色具有广泛的范围和权限。被误用的可能性非常高,攻击的危害性非常大,因为攻击是可以链式的,攻击者可以进一步获得对整个基础设施的访问权限,甚至是代码库和配置。CloudSEK表示,它以负责任和独立的方式向AWS和受影响的公司披露了安全问题。在这家总部位于班加罗尔的网络安全公司分析的应用程序中,暴露的AWS密钥提供了对多项AWS服务的访问权限,包括S3存储服务的凭证,这反过来又提供了对包含10,073,444个文件和数据的88个存储桶的访问权限,总计5.5TB。存储桶中还包括源代码、应用程序备份、用户报告、测试工件、配置和凭证文件,可用于深入访问应用程序的基础设施,包括用户数据库。从Internet访问的配置错误的AWS实例是造成最近许多数据泄露的原因。2019年10月,网络安全公司Imperva披露,在2017年开始的客户数据库云迁移失败后,可以在线访问其云防火墙产品的一些用户的信息。上个月,印度股票交易平台Upstox宣布遭到黑客攻击并遭受严重数据泄露,其中数百万客户的个人信息可能被盗。泄露的数据包括:客户姓名、联系信息、出生日期、银行账户信息和数百万KYC(了解你的客户)详细信息,Upstox认为这些信息是ShinyHunters黑客团伙在获得公司的亚马逊AWS密钥访问权限后窃取的。经过分析,Upstox配置了错误的AWSS3存储桶。KYC数据的泄露尤其严重,因为它可能包含身份证、护照、带照片的身份证件以及其他可以证明个人住所的文件的扫描件,例如水电费账单。此类信息有助于金融机构确定客户的真实身份并打击洗钱和恐怖主义融资,但如果落入坏人之手,可能会被身份窃贼和诈骗者滥用。Bevigil首席技术官ShahrukhAhmad说:硬编码API密钥就像给你的房子上了锁,但把钥匙留在标有“请勿打开”的信封中。这些密钥很容易被恶意黑客或竞争对手发现,他们可以使用它们来破坏他们的数据和网络。什么是BeVigil,它是如何工作的?BeVigil是一个移动安全搜索引擎,允许研究人员搜索应用程序的元数据、审查其代码、查看安全报告和风险评分,甚至扫描新的APK。移动应用程序已成为最近许多供应链攻击的目标,攻击者将恶意代码注入到应用程序开发人员使用的SDK中。安全团队可以依靠BeVigil来识别任何使用恶意SDK的恶意应用程序。通过使用元数据搜索,安全研究人员可以对网络上的各种应用程序进行深入调查。BeVigil生成的扫描报告可供整个CloudSEK社区使用。总而言之,对于消费者和安全研究人员来说,它有点像VirusTotal。您可以在BeVigil中寻找什么?您可以在数百万个应用程序中搜索易受攻击的代码片段或关键字,以查看哪些包含它们。这样,研究人员可以轻松分析质量数据、关联威胁和处理误报。除了通过简单地输入名称来搜索特定应用程序之外,还可以找到完整的应用程序列表:来自哪个开发组织;高于或低于某个安全分数;例如,安全评分为7的信用应用程序;在特定时间段内发布(选择“开始”和“结束”日期),例如,识别2021年发布的信用应用程序;来自金融、教育、工具、健康与健身等48个不同类别;通过搜索特定开发人员的电子邮件地址;例如,通过搜索在特定国家/地区开发的程序来识别来自德国的银行应用程序;通过搜索PIN或开发者电子邮件地址在特定位置开发的应用程序;在后台录制音频;在后台记录位置;可以访问摄像头设备;可以访问;设备上的特定权限;使用特定的目标SDK版本;除此之外,正则表达式还可以用于通过查找代码模式来查找存在安全漏洞的应用程序;本文翻译自:https://thehackernews.com/2021/05/over-40-apps-with-more-than-100-million.html如有转载请注明出处。
