En række populære apps i App Store og Google Play Store lækker adgangsoplysninger til cloud-tjenester som AWS og Azure i klartekst – altså uden nogen form for kryptering eller beskyttelse i koden, hvilket skaber alvorlige sikkerhedsrisici.
Det afslører en undersøgelse fra Broadcoms Symantec Security Technology & Response-team, der ledes af Yuanjing Guo og Tommy Dong.
Oplysninger frit tilgængelige
De to forskere har identificeret flere tilfælde, hvor app-udviklere har indlejret AWS- og Azure-oplysninger direkte i applikationernes kode.
Det betyder, at alle, der har adgang til appens binære fil eller kildekode, nemt kan udtrække disse oplysninger og potentielt misbruge dem.
"Denne farlige praksis betyder, at alle med adgang til appens binære fil eller kildekode potentielt kunne udtrække disse oplysninger og misbruge dem til at manipulere eller udtrække data, hvilket kan føre til alvorlige sikkerhedsbrud," lyder det fra Yuanjing Guo og Tommy Dong.
Ifølge de to sikkerhedsforskere kan konsekvenserne være alvorlige, da hackere kan slette eller manipulere backend-tjenester, lække virksomheders følsomme data og misbruge brugernes oplysninger, som ofte opbevares i cloud-tjenesterne.
Et af tilfældene drejer sig om er en Android-app med fem millioner downloads, der utilsigtet lækker adgangsoplysninger til en Amazon S3 bucket, som bruges i produktionen.
Et andet tilfælde drejer sig om en iOS-app med 3,9 millioner vurderinger og høj placering i sin kategori, hvor der er blevet fundet adgangsnøgler i klartekst.
Kritik af fremgangsmåde
Ifølge forskerne fra Symantec tyder det på, at mange app-udviklere prioriterer bekvemmelighed over sikkerhed, da de ifølge undersøgelsen ofte har en tendens til at implementere cloud-oplysninger direkte i kildekoden, nærmest som en offentlig API-nøgle.
Forskerne bemærker også en mangel på standardisering i fremgangsmåden, da man i nogle tilfælde skjuler oplysningerne i forbindelsestrenge, mens man i andre tilfælde har indlejret dem direkte i den binære kode uden kryptering.
Derfor opfordres udviklere til at ændre tilgang og benytte sikrere kodningsteknikker.