La mayoría de las aplicaciones móviles que filtran credenciales de AWS están en iOS

La mayoría de las aplicaciones móviles que filtran credenciales de AWS están en iOS

La mayoría de las aplicaciones móviles que filtran credenciales de AWS están en iOS. Solo el 2 % de las aplicaciones que filtraban credenciales de AWS codificadas estaban en la plataforma Android, según ha demostrado una investigación.

Según una nueva investigación, las aplicaciones de iOS están filtrando credenciales codificadas de Amazon Web Services (AWS). Lo hacen con mucha más frecuencia que las versiones basadas en Android de la misma aplicación.

El análisis de las bibliotecas de software pertenecientes a más de 1800 aplicaciones disponibles públicamente. Encontró que el 77 % había filtrado detalles que los atacantes podrían usar para obtener acceso a cuentas privadas de AWS. A la vez, se descubrió que el 47% había filtrado credenciales asociadas con cubos de Amazon S3.

De estas aplicaciones vulnerables, el 98 % se instaló en iOS, según Kevin Watkins, investigador de seguridad de Symantec.

La mayoría de las aplicaciones móviles que filtran credenciales de AWS están en iOS

Watkins concluyó que el problema se debió a una falla en la cadena de suministro de software. Esto es porque en más de la mitad (53 %) de las aplicaciones con fugas, se expusieron las mismas credenciales de AWS. Esto a pesar de que las aplicaciones fueron desarrolladas por diferentes empresas.

Un análisis de las aplicaciones mostró que los tokens de acceso de AWS comunes que se encuentran en más de la mitad de las aplicaciones afectadas podrían rastrearse hasta bibliotecas compartidas. También kits de desarrollo de software (SDK) de terceros u otro componente compartido existente en el código de las aplicaciones. Watkins no detalló por qué el problema era mucho más frecuente en el desarrollo de iOS que en Android.

El uso de bibliotecas compartidas es una práctica común en el espacio de desarrollo de software. Esta es la razón por la cual la vulnerabilidad Log4Shell fue tan preocupante cuando se descubrió por primera vez.

Puede ser difícil para los desarrolladores saber cuándo una biblioteca de software es vulnerable o insegura. También pueden surgir problemas relacionados con la cadena de suministro cuando las empresas subcontratan el desarrollo de sus aplicaciones. También cuando las empresas usan el mismo componente vulnerable en varias aplicaciones.

Encontrar credenciales codificadas en aplicaciones no es una tendencia novedosa y ha sido bien documentado previamente, incluso por Watkins.

La mayoría de las aplicaciones móviles que filtran credenciales de AWS están en iOS

“Normalmente, no encontramos ningún control de acceso en las aplicaciones, es decir, todos los datos privados de los usuarios en una aplicación están expuestos al mundo, o las claves privadas se encuentran fácilmente o se codifican de forma rígida dentro del binario de la aplicación”.

Existen numerosas razones para explicar por qué los desarrolladores usan claves de acceso codificadas en aplicaciones móviles. Una de ellas para descargar o cargar recursos como archivos multimedia.

Más problemático en iOS que en Android

Otras explicaciones incluyen el acceso a los archivos de configuración de la aplicación para el almacenamiento en la nube. También para el acceso a los servicios en la nube que requieren autenticación, como la funcionalidad de traducción, dijo Watkins.

También puede que no haya razones aparentes para explicar las credenciales codificadas en absoluto, dijo. A veces, los desarrolladores se olvidan de eliminar el código inactivo o el código reservado solo con fines de prueba. En última instancia, esto se deja incluido en la versión final de la aplicación.

Las credenciales de la nube pueden estar codificadas en las aplicaciones, en algunos casos, porque los desarrolladores sienten que el impacto podría no ser grave. Watkins dijo que “si una clave de acceso solo tiene permiso para acceder a un servicio o activo en la nube específico, por ejemplo, acceder a archivos de imágenes públicas del servicio corporativo Amazon S3, el impacto puede ser mínimo”.

Sin embargo, exponer todos los archivos y depósitos a través de credenciales de nube codificadas es a menudo la realidad, dijo Watkins. Esto puede llevar a que los archivos corporativos y los datos confidenciales relacionados con las bases de datos y la infraestructura operativa queden abiertos a los atacantes.

Para evitar que los problemas comunes de la cadena de suministro de software entren en una aplicación comercial, Watkins recomienda agregar productos de escaneo de seguridad al ciclo de vida del desarrollo.

0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments

Relacionados

Tendencias

Más leídos

Se habla de..

0
Would love your thoughts, please comment.x
()
x