Varias aplicaciones móviles ampliamente utilizadas, algunas con millones de descargas, exponen información codificada y no cifrada. credenciales para servicios en la nube en sus bases de código, descubrieron los investigadores de Symantec. Potencialmente, esto permite que cualquier persona con acceso al código fuente o binario de la aplicación extraiga credenciales para explotar la infraestructura de la nube para su uso indebido.
Las aplicaciones populares para dispositivos Android y iPhone incluyen credenciales para Amazon Web Services (AWS) y Microsoft Azure Blog Storage en su código, Symantec. reveló en una publicación de blog esta semana. Y se pueden encontrar en la respectiva tienda oficial de aplicaciones móviles de cada plataforma de dispositivo: GooglePlay y la tienda de aplicaciones de Apple.
“Esta práctica peligrosa significa que cualquier persona con acceso al código binario o fuente de la aplicación podría potencialmente extraer estas credenciales y utilizarlos indebidamente para manipular o filtrar datos, lo que genera graves vulnerabilidades de seguridad”, escribieron los ingenieros de Symantec en la publicación.
Además, la “naturaleza generalizada” de las vulnerabilidades en las aplicaciones para plataformas iOS y Android “destaca la necesidad urgente de un cambio hacia prácticas de desarrollo más seguras” cuando se trata de aplicaciones móviles, agregaron.
La investigación de Symantec se centró en una serie de aplicaciones móviles ampliamente distribuidas que incluían credenciales de AWS o Azure en sus bases de código. En el primer caso, las aplicaciones de Android e iOS son culpables de exposición de credenciales, mientras que varias aplicaciones de Android exponen las credenciales de almacenamiento de Azure.
Por ejemplo, una aplicación llamada The Pic Stitch: Collage Maker que se encuentra en Google Play Store contiene credenciales de producción de AWS codificadas, incluido el nombre del depósito de producción de Amazon S3, claves de acceso de lectura y, por escrito, las claves secretas, en su base de código, el descubrieron los investigadores. . También revela referencias directivas en algunos casos.
Aplicaciones de iOS con graves riesgos de seguridad
Mientras tanto, tres aplicaciones de iOS examinadas por Symantec también revelaron que AWS cartas credenciales. El llamado Crumbl, que tiene más de 3,9 millones de reseñas de usuarios y ocupa el puesto número 5 en la categoría de Alimentos y bebidas en la App Store de Apple, inicializa un AWSStaticCredentialsProvider con credenciales de texto sin formato. Las credenciales, utilizadas para configurar los servicios de AWS, incluyen tanto una clave de acceso como una clave secreta.
Además, la aplicación también incluye otra “supervisión de seguridad importante” al incluir un punto final WebSocket Secure (WSS) en su código. Este punto final, que forma parte de la URL de la API de Amazon, está codificado con una puerta de enlace API que se conecta directamente a los servicios de Internet de las cosas en AWS.
“Exponer dichas URL con credenciales estáticas facilita que los atacantes intercepten o manipulen las comunicaciones, lo que lleva a un acceso no autorizado a los recursos asociados de AWS”, escribieron los ingenieros. Por lo tanto, esta configuración vulnerable, sin cifrado u ofuscación adecuada, “representa un riesgo grave para la integridad de la aplicación y su infraestructura backend”, señalaron.
Otras dos aplicaciones de iOS con cientos de miles de calificaciones en la App Store también exponen las credenciales de AWS al codificarlas directamente en su código; las aplicaciones son Eureka: Gana dinero con encuestas y Videoshop – Editor de video.
El primero asigna un objeto INMAWSCredentials y lo inicializa con la clave de acceso y la clave secreta, ambas almacenadas de forma clara y que pueden usarse para registrar eventos en AWS, “exponiendo recursos críticos de la nube a posibles ataques”, dijeron los ingenieros.
Este último incorpora directamente credenciales de AWS no cifradas en el [VSAppDelegate setupS3] método, lo que significa que cualquier persona con acceso al binario de la aplicación puede extraerlos fácilmente. Esto les daría acceso no autorizado a los depósitos S3 asociados y podría conducir potencialmente al robo o manipulación de datos.
Las aplicaciones de Android exponen las credenciales de Azure
De manera similar, Symantec descubrió que tres aplicaciones de Android exponen credenciales directamente a Microsoft Azure Blob Storage, a través de sus binarios o bases de código.
Meru Cabs, una aplicación india de transporte compartido, que tiene más de 5 millones de descargas en Google Play, incluye credenciales de Azure codificadas en su servicio UploadLogs al incorporar una cadena de conexión que incluye una clave de cuenta. “Esta cadena de conexión se utiliza para gestionar las cargas de registros, exponiendo recursos críticos de almacenamiento en la nube a posibles abusos”, escribieron los ingenieros.
Sulekha Business, otra aplicación de Android con más de 500.000 descargas, integra en su código base varias credenciales de Azure codificadas que se utilizan para diversos fines, como agregar publicaciones, administrar facturas y almacenar perfiles de usuario.
Una tercera aplicación de Android que también tiene más de 500.000 descargas, ReSound Tinnitus Relief, también codifica las credenciales de Azure Blob Storage para administrar diversos activos y archivos de audio, cuya exposición podría provocar acceso no autorizado y violaciones de datos.
La mitigación comienza con el desarrollo de aplicaciones
Los hallazgos de Symantec llegan un día después de la publicación de un informe de Datadog que encontró identificadores no administrados que viven demasiado tiempo en una red basada en la nube presentaban un riesgo de seguridad para la mitad de las organizaciones. De hecho, según Symantec, cualquier divulgación accidental de credenciales a servicios en la nube expone a cualquier organización con infraestructura de red, software u otros activos ejecutándose allí.
Un buen punto de partida para mitigar estos riesgos es el desarrollo de aplicaciones, donde los desarrolladores deben seguir las mejores prácticas para manejar información confidencial. Incluyen el uso de variables de entorno para almacenar credenciales confidenciales de modo que se carguen en tiempo de ejecución en lugar de incrustarse directamente en el código de la aplicación, según Symantec.
Los desarrolladores también deben utilizar herramientas de administración de secretos dedicadas, como AWS Secrets Manager o Azure Key Vault, para almacenar y acceder de forma segura a las credenciales. Si las credenciales se van a almacenar dentro de la aplicación, deben asegurarse de utilizar algoritmos de cifrado sólidos y descifrarlos en tiempo de ejecución si es necesario.
Según Symantec, otra forma de proteger las credenciales y evitar otras Posibles errores en el desarrollo de aplicaciones es integrar herramientas automatizadas de análisis de seguridad en el proceso de desarrollo para detectar vulnerabilidades de seguridad comunes en las primeras etapas del proceso de desarrollo.