[[397596]]

大多數(shù)手機(jī)應(yīng)用用戶傾向于盲目地相信他們從應(yīng)用商店下載的應(yīng)用是安全的，但實(shí)際情況并非總是如此。

為了大規(guī)模介紹這些漏洞并方便用戶進(jìn)行識(shí)別，網(wǎng)絡(luò)安全和機(jī)器智能公司CloudSEK最近提供了一個(gè)名為BeVigil的平臺(tái)，用戶可以在安裝應(yīng)用程序之前搜索和檢查應(yīng)用程序的安全評(píng)級(jí)和其他安全問題。

與The Hacker News共享的最新報(bào)告詳細(xì)說明了BeVigil搜索引擎是如何識(shí)別40多個(gè)應(yīng)用程序(累計(jì)下載量超過1億次)，這些應(yīng)用程序中嵌入了硬編碼的Amazon Web Services(AWS)專用密鑰，從而將其內(nèi)部網(wǎng)絡(luò)和用戶數(shù)據(jù)面臨網(wǎng)絡(luò)攻擊的風(fēng)險(xiǎn)。

BeVigil發(fā)現(xiàn)流行的應(yīng)用程序泄漏了AWS密鑰

AWS密鑰泄漏已在一些主要應(yīng)用程序中被發(fā)現(xiàn)，例如Adobe Photoshop Fix，Adobe Comp，Hootsuite，IBM的Weather Channel以及在線購物服務(wù)Club Factory和Wholee。這些結(jié)果是對(duì)提交給CloudSEK的移動(dòng)應(yīng)用安全搜索引擎BeVigil的1萬多個(gè)應(yīng)用程序進(jìn)行分析后得出的。

CloudSEK研究人員表示:

• 在移動(dòng)應(yīng)用程序源代碼中硬編碼的AWS密鑰可能是一個(gè)巨大的漏洞，特別是如果(身份和訪問管理)角色具有廣泛的范圍和權(quán)限。誤用的可能性非常大且攻擊的危害性非常大，因?yàn)楣艨梢枣溄樱粽呖梢赃M(jìn)一步訪問整個(gè)基礎(chǔ)設(shè)施，甚至代碼庫和配置。

CloudSEK表示，它負(fù)責(zé)任地向AWS和受影響的公司獨(dú)立披露了這些安全問題。

在總部位于班加羅爾的網(wǎng)絡(luò)安全公司分析的應(yīng)用程序中，公開的AWS密鑰可以訪問多個(gè)AWS服務(wù)，包括S3存儲(chǔ)服務(wù)的憑據(jù)，這反過來又可以訪問88個(gè)存儲(chǔ)桶，其中包含10073444個(gè)文件和數(shù)據(jù)，總計(jì)5.5 tb。

存儲(chǔ)桶中還包括源代碼、應(yīng)用程序備份、用戶報(bào)告、測(cè)試工件、配置和憑據(jù)文件，這些文件可以用來深入訪問應(yīng)用程序的基礎(chǔ)設(shè)施，包括用戶數(shù)據(jù)庫。

從互聯(lián)網(wǎng)訪問的錯(cuò)誤配置AWS實(shí)例是最近許多數(shù)據(jù)泄漏的原因。2019年10月，網(wǎng)絡(luò)安全公司Imperva披漏，在2017年開始的一次客戶數(shù)據(jù)庫云遷移失敗后，其云防火墻產(chǎn)品的一部分用戶的信息可以在網(wǎng)上訪問。

上個(gè)月, 印度股票交易平臺(tái) Upstox 發(fā)布公告稱遭受黑客攻擊，發(fā)生了嚴(yán)重的數(shù)據(jù)泄露事件，數(shù)百萬客戶的個(gè)人信息可能已經(jīng)被竊取。泄漏數(shù)據(jù)包括：客戶的姓名，聯(lián)系信息，出生日期，銀行帳戶信息以及數(shù)百萬個(gè)KYC(Know Your Customer)詳細(xì)信息，Upstox 認(rèn)為這些信息是 ShinyHunters 黑客團(tuán)伙在訪問公司的 Amazon AWS 密鑰后盜用的。經(jīng)分析，是Upstox配置了錯(cuò)誤的AWS S3存儲(chǔ)桶。對(duì) KYC 數(shù)據(jù)的泄露尤其嚴(yán)重，因?yàn)樗赡馨矸葑C，護(hù)照，帶照片的身份證件以及其他文件的掃描件，這些文件可以證明個(gè)人的住所，例如水電費(fèi)賬單。此類信息可幫助金融組織確定客戶的真實(shí)身份，并打擊洗錢和資助恐怖主義行為，但如果這些信息落入不法份子之手，則可能被身份盜用者和騙子濫用。

Bevigil首席技術(shù)官Shahrukh Ahmad說:

• 硬編碼API密鑰就像給你的房子加了鎖，但將密鑰留在標(biāo)有'請(qǐng)勿打開'的信封中。這些密鑰很容易被惡意黑客或競爭對(duì)手發(fā)現(xiàn)，他們可以使用它們來破壞其數(shù)據(jù)和網(wǎng)絡(luò)。

什么是BeVigil，它是如何工作的?

BeVigil是一個(gè)移動(dòng)安全搜索引擎，它允許研究人員搜索應(yīng)用的元數(shù)據(jù)，審查他們的代碼，查看安全報(bào)告和風(fēng)險(xiǎn)評(píng)分，甚至掃描新的APK。

移動(dòng)應(yīng)用程序已成為許多最近的供應(yīng)鏈攻擊的目標(biāo)，攻擊者將惡意代碼注入到應(yīng)用程序開發(fā)人員使用的SDK中。安全團(tuán)隊(duì)可以依靠BeVigil來識(shí)別使用惡意SDK的任何惡意應(yīng)用。通過使用元數(shù)據(jù)搜索，安全研究人員可以對(duì)網(wǎng)絡(luò)上的各種應(yīng)用程序進(jìn)行深入調(diào)查。BeVigil生成的掃描報(bào)告可供整個(gè)CloudSEK社區(qū)使用?？傊?，對(duì)于消費(fèi)者和安全研究人員來說，它有點(diǎn)像VirusTotal。

你可以在BeVigil中尋找什么?

你可以在數(shù)以百萬計(jì)的應(yīng)用程序中搜索易受攻擊的代碼片段或關(guān)鍵字，以了解哪些應(yīng)用程序包含這些代碼。這樣，研究人員可以輕松分析質(zhì)量數(shù)據(jù)，關(guān)聯(lián)威脅并處理誤報(bào)。

除了通過簡單地輸入名稱來搜索特定應(yīng)用程序外，還可以找到整個(gè)應(yīng)用程序列表：

• 來自哪個(gè)開發(fā)組織;
•  高于或低于一定的安全評(píng)分;例如，安全得分為7的信用應(yīng)用程序;
• 在特定時(shí)間段內(nèi)發(fā)布(選擇“開始”和“結(jié)束”日期)，例如，確定2021年發(fā)布的信用應(yīng)用;
• 來自48個(gè)不同類別，例如金融、教育、工具、健康與健身等;
• 通過搜索特定開發(fā)者的電子郵件地址;
•  通過搜索在特定國家/地區(qū)開發(fā)的程序，例如，識(shí)別來自德國的銀行應(yīng)用;
• 通過搜索個(gè)人識(shí)別碼或開發(fā)者電子郵件地址在特定位置開發(fā)的應(yīng)用;
• 在后臺(tái)錄制音頻;
•  在后臺(tái)記錄位置;
• 可以訪問攝像頭設(shè)備;
•  可以訪問;設(shè)備上的特定權(quán)限;
• 使用特定的目標(biāo)SDK版本;
•  除此之外，還可以使用正則表達(dá)式通過查找代碼模式來查找具有安全漏洞的應(yīng)用程序;

本文翻譯自：https://thehackernews.com/2021/05/over-40-apps-with-more-than-100-million.html如若轉(zhuǎn)載，請(qǐng)注明原文地址。