jeu. Sep 29th, 2022

Selon les chercheurs en sécurité de Symantec, de nombreuses applications contiennent des jetons d’accès AWS codés en dur – avec un énorme potentiel de dommages.

Les chercheurs de Symantec ont trouvé des jetons d’accès AWS codés en dur dans de nombreuses applications. En raison des codes sources partagés, les jetons étaient souvent identiques. Les risques potentiels ne doivent pas être sous-estimés.

Jetons d’accès AWS codés en dur découverts presque exclusivement dans les applications iOS

Les chercheurs du spécialiste de la sécurité Symantec ont identifié 1 859 applications contenant des informations d’identification AWS stockées en texte clair dans le code source. Presque toutes, 98%, de ces applications ont été conçues pour iOS, ce que les chercheurs attribuent à diverses tactiques et politiques d’examen des magasins d’applications. iOS n’a attiré l’attention qu’en janvier, car de nombreuses applications prétendument sans suivi ont envoyé des données à des sociétés tierces.

Selon le rapport des chercheurs en sécurité, 77 % des applications concernées contiennent « des jetons d’accès AWS valides qui autorisent l’accès aux services cloud AWS privés“. A 47%, près de la moitié des applications hébergent »des jetons AWS valides, qui permettent également un accès complet à de nombreux, souvent des millions de fichiers privés via Amazon Simple Storage Service (Amazon S3).“.

Le code source partagé est souvent la cause

Fait intéressant, jusqu’à 53 % des applications utilisent exactement les mêmes jetons d’accès AWS, ce qui indique finalement une vulnérabilité de la chaîne d’approvisionnement. Et c’est là que les chercheurs ont trouvé le coupable : les bibliothèques partagées tierces et les SDK.

Voir aussi  Spider-Man de Marvel craque le jour de sa sortie

Les prestataires de services externes mandatés pour le développement en sont souvent la cause. Parce que ceux-ci utilisent souvent des parties de leur code source pour plusieurs projets clients, de sorte que les jetons d’accès AWS codés en dur peuvent potentiellement se perdre dans les applications de plusieurs clients. Les développeurs stockent souvent les données d’accès uniquement à des fins de test interne et oublient de les supprimer du code source avant la livraison.

Les jetons d’accès AWS fournissent souvent des droits d’accès étendus

Cependant, les risques de telles omissions sont énormes. Par exemple, l’équipe Symantec signale une entreprise B2B qui vient de coder en dur des jetons d’accès AWS pour accéder au service de traduction AWS. Malheureusement, l’accès avec ce jeton n’était pas limité au service de traduction. Par conséquent, de nombreuses données privées des employés ainsi que des données financières et de nombreuses données clients de l’entreprise ont pu être récupérées.

Dans un autre cas, plus de 300 000 empreintes digitales biométriques ont été publiées sur cinq applications bancaires mobiles, toutes utilisant le même SDK AI Digital Identity tiers. Mais d’autres données personnelles telles que les noms et dates de naissance de tous les clients étaient également librement accessibles dans le cloud.

« Les applications avec des jetons d’accès AWS codés en dur sont vulnérables, actives et présentent un risque sérieux‘ soulignent les chercheurs en sécurité.