Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Более 1800 мобильных приложений раскрывают личные данные клиентов крупных компаний и разработчиков

02/09/22

download-1

Исследователи Symantec выявили 1859 приложений для Android и iOS, содержащих жестко запрограммированные учетные данные Amazon Web Services (AWS), что представляет большую угрозу безопасности для пользователей.

77% приложений содержат действительные токены авторизации AWS, позволяющие получить доступ к частным облачным сервисам AWS. Около 50% приложений различных разработчиков используют одни и те же токены доступа AWS, что указывает на уязвимость цепочки поставок.

Учетные данные AWS обычно используются для загрузки соответствующих ресурсов, необходимых для функций приложения, а также для доступа к файлам конфигурации и аутентификации в других облачных службах, поясняет Securitylab.

Более того, 47% обнаруженных приложений содержат действительные токены AWS, которые предоставляют полный доступ ко всем частным файлам и корзинам Amazon Simple Storage Service (S3) в облаке, включая файлы инфраструктуры и резервные копии данных.

В одном случае неназванная B2B-компания, которая предоставила своим клиентам комплект для разработки мобильного ПО (Software Development Kit, SDK), имела свои ключи облачной инфраструктуры, встроенные в SDK для доступа к службе перевода.

Это привело к раскрытию всех личных данных клиентов, которые включали корпоративные данные и финансовые отчеты, принадлежащие более чем 15 000 компаний среднего и крупного бизнеса.

Также были обнаружены 5 банковских iOS-приложений, которые использовали SDK, содержащий облачные учетные данные, что привело к утечке информации об отпечатках пальцев более 300 000 пользователей. Исследователи предупредили организации о найденных проблемах в приложениях.

Темы:приложенияУгрозыSymantecAmazon Web Services
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...