Hơn 40 ứng dụng với hơn 100 triệu lượt cài đặt bị phát hiện rò rỉ AWS keys.



Hầu hết người dùng ứng dụng dành cho các thiết bị di động của họ sự tin tưởng một cách mù quáng rằng các ứng dụng họ tải xuống từ các cửa hàng ứng dụng là an toàn và bảo mật. Nhưng không phải lúc nào cũng vậy.

Để chứng minh các cạm bẫy và xác định các lỗ hổng trên quy mô lớn, công ty an ninh mạng và trí tuệ máy tính CloudSEK gần đây đã cung cấp một nền tảng có tên BeVigil, nơi các cá nhân có thể tìm kiếm và kiểm tra xếp hạng bảo mật của ứng dụng cũng như các vấn đề bảo mật khác trước khi cài đặt ứng dụng.

Một báo cáo mới nhất được chia sẻ với The Hacker News đã nêu chi tiết cách công cụ tìm kiếm BeVigil xác định hơn 40 ứng dụng – với hơn 100 triệu lượt tải xuống tích lũy – có các  Amazon Web Services keys (AWS) riêng đã mã hóa cứng được nhúng bên trong chúng, đưa mạng nội bộ và người dùng của họ ‘dữ liệu có nguy cơ bị tấn công bởi các cuộc cyber-attacks.

Access keys | AWS Security Blog

BeVigil phát hiện các ứng dụng phổ biến rò rỉ AWS keys.

Việc rò rỉ AWS key đã được phát hiện trong một số ứng dụng thiết yếu như Adobe Photoshop Fix, Adobe Comp, Hootsuite, IBM’s Weather Channel và các dịch vụ mua sắm trực tuyến Club Factory và Wholee. Các phát hiện là kết quả của cuộc phân tích hơn 10.000 ứng dụng được gửi đến BeVigil của CloudSEK, một công cụ tìm kiếm bảo mật ứng dụng dành cho thiết bị di động.

Các nhà nghiên cứu CloudSEK cho biết: “Các khóa AWS được mã hóa cứng trong mã nguồn của  ứng dụng dành cho thiết bị di động có thể là một vấn đề lớn, đặc biệt nếu vai trò [Quản lý danh tính và quyền truy cập] có phạm vi và quyền trên diện rộng” các nhà nghiên cứu CloudSEK cho biết. “Khả năng bị lạm dụng là ở đây là không có điểm dừng, vì các cuộc tấn công có thể được xâu chuỗi và hacker có thể lấn sâu hơn vào toàn bộ cơ sở hạ tầng, thậm chí cả cơ sở mã và cấu hình.”

CloudSEK cho biết họ đã tiết lộ một cách có trách nhiệm những lo ngại về bảo mật này cho AWS và các công ty bị ảnh hưởng một cách độc lập.

Trong một ứng dụng được phân tích bởi công ty an ninh mạng có trụ sở tại Bengaluru, AWS keys đã bị lộ, có quyền truy cập vào nhiều dịch vụ AWS, bao gồm thông tin đăng nhập cho dịch vụ lưu trữ S3, lần lượt mở ra quyền truy cập vào 88 nhóm chứa 10.073.444 tệp và dữ liệu lên tới 5,5 terabyte.

Các nhóm cũng bao gồm mã nguồn, sao lưu ứng dụng, báo cáo người dùng, các bản thử nghiệm củ, cấu hình và tệp thông tin xác thực có thể được sử dụng để truy cập sâu hơn vào cơ sở hạ tầng của ứng dụng, bao gồm cả cơ sở dữ liệu người dùng.

Các phiên bản Misconfigured AWS có thể truy cập từ internet là nguyên nhân của nhiều vụ vi phạm dữ liệu gần đây. Vào tháng 10 năm 2019, công ty an ninh mạng Imperva đã tiết lộ rằng thông tin từ một nhóm nhỏ người dùng chưa xác định được củaCloud Firewall của họ có thể truy cập trực tuyến sau quá trình của vụ làm sai cơ sở dữ liệu khách hàng bắt đầu vào năm 2017.

Tháng trước, nền tảng môi giới chiết khấu và giao dịch trực tuyến có trụ sở tại Ấn Độ, Upstox đã gặp sự cố bảo mật sau khi một nhóm hack khét tiếng có tên là ShinyHunters truy cập trái phép vào nhóm AWS S3 được định cấu hình sai.

Shahrukh Ahmad, CTO Bevigil, cho biết: “Các khóa API được mã hóa cứng giống như khóa ngôi nhà của bạn nhưng để chìa khóa trong một phong bì có nhãn ‘Không được mở’ ‘. “Các khóa này có thể dễ dàng bị phát hiện bởi hacker độc hại hoặc đối thủ cạnh tranh, những người có thể sử dụng chúng để xâm phạm dữ liệu và mạng của họ.”

BeVigil là gì và nó hoạt động như thế nào?

BeVigil là một công cụ tìm kiếm bảo mật di động cho phép các nhà nghiên cứu tìm kiếm siêu dữ liệu về ứng dụng, xem lại mã của họ, xem báo cáo bảo mật và điểm rủi ro và thậm chí quét các APK mới.

Ứng dụng dành cho thiết bị di động là mục tiêu của nhiều cuộc supply chain attacks gần đây. Hacker đưa mã độc hại vào SDKs do các nhà phát triển ứng dụng sử dụng. Các nhóm bảo mật có thể dựa vào BeVigil để xác định bất kỳ ứng dụng độc hại nào sử dụng SDKs độc hại.

Các nhà nghiên cứu bảo mật có thể thực hiện điều tra đi sâu hơn về các ứng dụng khác nhau trên web bằng cách sử dụng tìm kiếm siêu dữ liệu. Các báo cáo quét do BeVigil tạo ra có sẵn cho toàn bộ cộng đồng CloudSEK. Tóm lại, nó hơi giống VirusTotal cho người tiêu dùng và các nhà nghiên cứu bảo mật.

Bạn có thể tìm kiếm gì ở BeVigil?

Bạn có thể tìm kiếm hàng triệu ứng dụng cho các đoạn mã hoặc từ khóa dễ bị tấn công để tìm hiểu ứng dụng nào chứa chúng. Với điều này, các nhà nghiên cứu có thể dễ dàng phân tích dữ liệu chất lượng, tương quan các mối đe dọa và đối phó với các kết quả bị nhiễm là giả.

Ngoài việc tìm kiếm một ứng dụng cụ thể bằng cách chỉ cần nhập tên, người ta cũng có thể tìm thấy toàn bộ danh sách các ứng dụng:

  • từ một tổ chức,
  • trên hoặc dưới một số điểm bảo mật nhất định; ví dụ: tín dụng các ứng dụng có điểm bảo mật là 7,
  • phát hành trong một khoảng thời gian nhất định (chọn ngày “từ” và “đến”); ví dụ: xác định các ứng dụng tín dụng được phát hành vào năm 2021,
  • từ 48 danh mục khác nhau như tài chính, giáo dục, công cụ, sức khỏe và thể dục, v.v.,
  • từ một nhà phát triển cụ thể bằng cách tìm kiếm bằng địa chỉ email của nhà phát triển,
  • phát triển ở một quốc gia cụ thể bằng cách tìm kiếm; ví dụ: xác định các ứng dụng ngân hàng từ Đức,
  • được phát triển ở một vị trí cụ thể bằng cách tìm kiếm bằng mã pin hoặc địa chỉ email của nhà phát triển,
  • ghi lại âm thanh trong nền,
  • vị trí trong nền,
  • có thể truy cập thiết bị máy ảnh,
  • có thể truy cập quyền cụ thể trên thiết bị của bạn,
  • với một phiên bản SDK mục tiêu.

Bên cạnh những thứ này, người ta cũng có thể sử dụng Regexes để tìm các ứng dụng có lỗ hổng bảo mật.

nguồn: thehackernews

 



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật