В коде приложений для iPhone и Android лежат незашифрованные учетные данные от MS Azure и Amazon Web Services

Специалисты изучили ряд популярных приложений в Google Play и App Store и нашли серьезные проблемы в безопасности. Наличие учетных данных в коде существенно повышает риск раскрытия пользовательских данных в связи с тем, что ошибки при разработке программного обеспечения (ПО) позволяют хакерам легко получить доступ к конфиденциальным данным в облаке.

Ошибки на этапе разработки

Специалисты Symantec выявили серьезную проблему безопасности в ряде популярных мобильных приложений для операционных систем (ОС) Android и iOS. Об этом в конце октября 2024 г. пишет издание BleepingComputer.

Многие популярные мобильные приложения для iOS и Android поставляются незашифрованными учетными данными для облачных сервисов, таких как Amazon Web Services (AWS) и Microsoft Azure Blob Storage. Это подвергает пользовательские данные и исходный код риску нарушения безопасности. Раскрытие такого рода учетных данных может легко привести к несанкционированному доступу к хранилищам и базам данных с конфиденциальными пользовательскими данными. Кроме того, злоумышленник может использовать их для манипулирования или кражи данных.

Жесткое кодирование - это практика разработки ПО, заключающаяся в встраивании данных непосредственно в исходный код программы или другой исполняемый объект. В отличие от получения данных из внешних источников или их генерации во время их выполнения.

В популярных iOS- и Android-приложений нашли открытые учетные данные

Согласно отчету Symantec, компании Broadcom, эти ключи присутствуют в кодовых базах приложений из-за ошибок и плохой практики на этапе разработки. Эта опасная практика означает, что любой человек, имеющий доступ к двоичному или исходному коду приложения, может извлечь эти учетные данные и использовать их для манипулирования или утечки данных, что может привести к серьезным нарушениям безопасности.

Исследователи по информационной безопасности (ИБ) обнаружили учетные данные облачных сервисов в следующих приложениях в Google Play, где в совокупности более 12 млн загрузок: Pic Stitch, Meru Cabs, Sulekha Business, ReSound Tinnitus Relief, Saludsa, Chola Ms Break In, EatSleepRIDE Motorcycle GPS, EatSleepRIDE Motorcycle GPS, Beltone Tinnitus Calmer. Они также обнаружили учетные данные в нескольких популярных приложениях, представленных в App Store Apple, где в совокупности более 6 млн загрузок: Crumbl, Eureka, Videoshop, Solitaire Clash: Win Real Cash, Zap Surveys. Хотя App Store не сообщает о количестве загрузок, это число обычно намного больше, чем указанное количество оценок. Компания Google отображает в Play Store общее количество загрузок за все время существования приложения и не отражает активные установки.

Наличие любого из вышеперечисленных приложений на вашем телефоне не означает, что ваши личные данные были украдены, но они доступны, и хакеры могут их вывести, если разработчики не примут меры и не устранят этот ИТ-риск.

В сентябре 2022 г. компания Symantec подняла тревогу по поводу этого риска, подчеркнув, что ее исследователи обнаружили более 1,8 тыс. приложений для iOS и Android, содержащих учетные данные AWS, причем 77% приложений имели в кодовой базе действительные токены доступа. ИБ-исследователи рекомендуют разработчикам следовать лучшим практикам защиты конфиденциальной информации в мобильных приложениях. К ним относятся использование переменных окружения для хранения учетных данных, использование ИТ-инструментов управления секретами (например, AWS Secrets Manager, Azure Key Vault), шифрование данных, регулярные проверки и аудит кода, а также интеграция автоматизированного сканирования безопасности на ранних этапах разработки для обнаружения конфиденциальных данных или проблем с безопасностью.

Требования к безопасности софта

Разработку ПО необходимо вести при поддержке обучающих программ по безопасности приложений, а также базы знаний, которую регулярно пополняет команда безопасности. Методы на этапе проектирования включают моделирование угроз, оценку проекта, а также реализацию стандартов безопасности из регулярно обновляемой библиотеки. Эти меры обеспечивают соблюдение необходимых требований к безопасности.

В ходе создания софта должна быть обязательная экспертная оценка, которая играет роль проверки безопасности первого уровня. Оценка предполагает автоматический статический анализ (SAST) и ручное тестирование безопасности и выполняется как штатными ИБ-специалистами, так и сторонними ИБ-экспертами согласно внутренней процедуре оценки рисков.

Оценка формальной готовности к запуску и процессы контроля изменений обеспечивают внедрение только утвержденных изменений в ПО. После развертывания регулярно проводится автоматизированное сканирование на предмет ИТ-уязвимостей. Моделирование ИТ-угроз позволяет лучше понять, каковы потенциальные риски ИТ-проекта в случае возникновения сложноорганизованных угроз безопасности или изменения возможностей, безопасность которых критически важна. Сам процесс в ИТ-компании проходит в виде мозгового штурма среди технических специалистов, инженеров по безопасности, разработчиков архитектуры и менеджеров по продукту. По итогам моделирования ИТ-угроз выявляются значимые угрозы безопасности и определяются их приоритеты. Эти выводы используются на этапе проектирования и позволяют внедрить необходимые методы защиты. Кроме того, они пригодятся для адресных проверок и тестирования на конечных этапах разработки.