Lebih dari 40 Aplikasi Dengan Lebih dari 100 Juta Pemasangan Ditemukan Kunci AWS yang Bocor

  • Whatsapp
Lebih dari 40 Aplikasi Dengan Lebih dari 100 Juta Pemasangan Ditemukan Kunci AWS yang Bocor

Sebagian besar pengguna aplikasi seluler cenderung percaya secara membabi buta bahwa aplikasi yang mereka unduh dari toko aplikasi aman dan terjamin. Tapi itu tidak selalu terjadi.

Untuk mendemonstrasikan jebakan dan mengidentifikasi kerentanan dalam skala besar, perusahaan keamanan siber dan kecerdasan mesin CloudSEK baru-baru ini menyediakan platform bernama BeVigil tempat individu dapat menelusuri dan memeriksa peringkat keamanan aplikasi dan masalah keamanan lainnya sebelum memasang aplikasi.

Bacaan Lainnya

Yang terbaru melaporkan dibagikan dengan The Hacker News merinci bagaimana mesin pencari BeVigil mengidentifikasi lebih dari 40 aplikasi – dengan lebih dari 100 juta unduhan kumulatif – yang memiliki kunci Amazon Web Services (AWS) pribadi yang di-hardcode tertanam di dalamnya, menempatkan jaringan internal mereka dan data pengguna mereka di risiko serangan dunia maya.

BeVigil menemukan aplikasi populer membocorkan kunci AWS

Kebocoran kunci AWS terlihat di beberapa aplikasi utama seperti Adobe Photoshop Fix, Adobe Comp, Hootsuite, IBM’s Weather Channel, dan layanan belanja online Club Factory dan Wholee. Penemuan ini adalah hasil dari analisis terhadap lebih dari 10.000 aplikasi yang dikirimkan ke BeVigil CloudSEK, mesin pencari keamanan aplikasi seluler.

auditor kata sandi

“Kunci AWS yang di-hardcode dalam kode sumber aplikasi seluler bisa menjadi masalah besar, terutama jika itu [Identity and Access Management] Peran memiliki cakupan dan izin yang luas, “kata peneliti CloudSEK.” Kemungkinan penyalahgunaan tidak terbatas di sini, karena serangan dapat dirantai dan penyerang dapat memperoleh akses lebih lanjut ke seluruh infrastruktur, bahkan basis kode dan konfigurasi. “

CloudSEK mengatakan secara bertanggung jawab mengungkapkan masalah keamanan ini kepada AWS dan perusahaan yang terpengaruh secara independen.

Dalam aplikasi yang dianalisis oleh perusahaan keamanan siber yang berbasis di Bengaluru, kunci AWS yang terekspos memiliki akses ke beberapa layanan AWS, termasuk kredensial untuk layanan penyimpanan S3, yang pada gilirannya membuka akses ke 88 bucket yang berisi 10.073.444 file dan data sebesar 5,5 terabyte.

Yang juga termasuk dalam bucket adalah kode sumber, backup aplikasi, laporan pengguna, artefak pengujian, konfigurasi dan file kredensial yang dapat digunakan untuk mendapatkan akses lebih dalam ke infrastruktur aplikasi, termasuk database pengguna.

Instans AWS yang salah dikonfigurasi dan dapat diakses dari internet telah menjadi penyebab banyak pelanggaran data baru-baru ini. Pada Oktober 2019, perusahaan keamanan siber Imperva diungkapkan bahwa informasi dari subset pengguna yang tidak ditentukan dari produk Cloud Firewall-nya dapat diakses secara online setelah migrasi cloud yang gagal dari database pelanggannya yang dimulai pada tahun 2017.

Bulan lalu, platform perdagangan online dan pialang diskon yang berbasis di India, Upstox, mengalami insiden keamanan setelah grup peretasan terkenal bernama ShinyHunters mengakses bucket AWS S3 yang tidak dikonfigurasi dengan benar.

“Kunci API yang di-hardcode seperti mengunci rumah Anda tetapi meninggalkan kunci dalam amplop berlabel ‘Jangan dibuka,’” kata Shahrukh Ahmad, CTO Bevigil. “Kunci ini dapat dengan mudah ditemukan oleh peretas atau pesaing jahat yang dapat menggunakannya untuk membahayakan data dan jaringan mereka.”

Apa itu BeVigil, dan bagaimana cara kerjanya?

BeVigil adalah mesin pencari keamanan seluler yang memungkinkan peneliti mencari metadata aplikasi, meninjau kode mereka, melihat laporan keamanan dan Skor Risiko, dan bahkan memindai APK baru.

Aplikasi seluler telah menjadi target dari banyak serangan rantai pasokan baru-baru ini. Penyerang menyuntikkan kode berbahaya ke dalam SDK yang digunakan oleh pengembang aplikasi. Tim keamanan dapat mengandalkan BeVigil untuk mengidentifikasi aplikasi berbahaya apa pun yang menggunakan SDK berbahaya.

Penyelidikan mendalam terhadap berbagai aplikasi yang ada di web dapat dilakukan oleh peneliti keamanan menggunakan penelusuran metadata. Laporan pemindaian yang dihasilkan oleh BeVigil tersedia untuk seluruh komunitas CloudSEK. Singkatnya, ini mirip dengan VirusTotal untuk konsumen dan peneliti keamanan.

Apa yang dapat Anda telusuri di BeVigil?

Anda dapat menelusuri jutaan aplikasi untuk menemukan cuplikan kode atau kata kunci yang rentan untuk mempelajari aplikasi mana yang berisi mereka. Dengan ini, peneliti dapat dengan mudah menganalisis data berkualitas, menghubungkan ancaman, dan menangani positif palsu.

Selain mencari aplikasi tertentu hanya dengan mengetikkan namanya, Anda juga dapat menemukan seluruh daftar aplikasi:

  • dari sebuah organisasi,
  • di atas atau di bawah skor keamanan tertentu; misalnya, beri kredit pada aplikasi dengan skor keamanan 7,
  • dirilis dalam jangka waktu tertentu (pilih tanggal “dari” dan “ke”); misalnya, mengidentifikasi aplikasi kredit yang dirilis pada 2021,
  • dari 48 kategori berbeda seperti keuangan, pendidikan, peralatan, kesehatan & kebugaran, dll.,
  • dari pengembang tertentu dengan menelusuri menggunakan alamat email pengembang,
  • dikembangkan di negara tertentu dengan mencari; misalnya, mengidentifikasi aplikasi perbankan dari Jerman,
  • dikembangkan di lokasi tertentu dengan menelusuri dengan kode pin atau alamat email pengembang,
  • yang merekam audio di latar belakang,
  • lokasi rekaman itu di latar belakang,
  • yang dapat mengakses perangkat kamera,
  • yang dapat mengakses izin khusus di perangkat Anda,
  • dengan versi SDK target tertentu

Selain itu, Anda juga dapat menggunakan Regex untuk menemukan aplikasi dengan kerentanan keamanan dengan mencari pola kode.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *