4 may 2021

Las aplicaciones móviles que exponen las claves de AWS afectan a más de 100 millones de datos de usuarios

BeVigil de CloudSEK, un motor de búsqueda de seguridad para aplicaciones móviles, ha descubierto que el 0,5% de las aplicaciones móviles exponen claves API de AWS, lo que pone en alto riesgo sus redes internas y sus datos.

Desde la NASA hasta Netflix, millones de empresas utilizan los servicios y API de AWS para sus necesidades de infraestructura, requisitos de alojamiento y para habilitar sus sitios web y aplicaciones móviles. Esta es la razón por la que los actores de amenazas buscan constantemente formas de comprometer los servicios de AWS de una empresa para tener acceso a información confidencial, datos de usuario y redes internas.

En el caso de AWS, la API actúa como una contraseña para que la aplicación acceda a los datos almacenados en AWS. En palabras simples, si AWS es su apartamento, donde almacena datos y archivos críticos, la clave API abre la puerta de su casa.

Si bien las claves públicas de API, como las de Facebook y LinkedIn, están disponibles intencionalmente para que otras aplicaciones verifiquen las identidades de los usuarios, la mayoría de las aplicaciones usan claves privadas que deben mantenerse seguras. Sin embargo, dado el ritmo al que se lanzan las nuevas versiones de las aplicaciones y el ritmo rápido al que trabajan los desarrolladores, no es raro que los desarrolladores pasen por alto las claves API expuestas.

CloudSEK ha observado que una amplia gama de empresas, tanto grandes como pequeñas, que atienden a millones de usuarios, tienen aplicaciones móviles con claves API codificadas en los paquetes de aplicaciones.

Estas claves podrían ser descubiertas fácilmente por delincuentes informáticos o competidores malintencionados que podrían usarlas para comprometer sus datos y redes. De hecho, varios ataques recientes de alto perfil, como la brecha de Imperva, han aprovechado esta mala configuración para comprometer la infraestructura de la nube. Por lo tanto, las claves API codificadas son similares a cerrar su casa pero dejar la clave en un sobre titulado "no abrir".

Si bien esto no es una falla en AWS, es evidencia de cuán descuidadamente se manejan las claves de AWS. Por lo tanto, depende de las empresas individuales abordar los problemas de seguridad asociados con el uso de los servicios de AWS.

A pesar de tener más de 8 millones de aplicaciones para elegir, los usuarios, los desarrolladores de aplicaciones y los investigadores de seguridad no tienen un mecanismo para determinar la postura de seguridad de las aplicaciones móviles. 

Dado lo costosas y lentas que pueden ser las revisiones de seguridad, los desarrolladores a menudo omiten este paso antes de que las aplicaciones se envíen a varias tiendas de aplicaciones. Y no ayuda que los usuarios finales no tengan ningún mecanismo para garantizar que las aplicaciones que instalan sean seguras. Esto lleva a que los datos de los usuarios sean violados y luego vendidos en foros clandestinos al mejor postor.

Análisis de 10.000 aplicaciones

En el último mes, se cargaron más de 10.000 aplicaciones en BeVigil para su análisis. De las cuales, encontraron más de 40 aplicaciones, es decir, el 0,5% de las aplicaciones tenían claves AWS privadas codificadas. Y en total, las más de 40 aplicaciones tienen más de 100 millones de descargas. Dado que hay más de 8 millones de aplicaciones disponibles en las tiendas de aplicaciones, estimamos que hay miles de aplicaciones móviles que exponen claves de AWS. Dado que muchas de estas aplicaciones están dirigidas a millones de usuarios, es necesario que exista una conciencia generalizada sobre los riesgos involucrados.

Las claves de AWS codificadas en el código fuente de una aplicación móvil pueden ser un gran problema, especialmente si la función de IAM tiene un alcance y permisos amplios. Las posibilidades de uso indebido son infinitas aquí, ya que los ataques se pueden encadenar y el atacante puede obtener más acceso a toda la infraestructura, incluso la base de código y la configuración.

CloudSEK ha revelado de manera responsable estas preocupaciones de seguridad a AWS y las empresas afectadas de forma independiente.

Los hallazgos y la historia de las APIs vulnerables se pueden leer completos en el paper.

Fuente: Bevigil

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!