Comme avec n’importe quel logiciel, les applications mobiles peuvent créer un éventail de problèmes de sécurité et d’expositions, allant des programmes malveillants intentionnellement malveillants aux applications contenant une faille obscure mais significative. Aujourd’hui, de nouvelles recherches mettent en lumière les oublis systémiques dans l’infrastructure cloud des applications mobiles qui sont trop courants et créent le risque que les données des utilisateurs puissent fuir là où elles ne devraient pas ou être compromises.
Des chercheurs de l’équipe Symantec Threat Hunter de Broadcom ont publié jeudi des résultats sur la prévalence des identifiants d’authentification codés en dur cachés dans les services cloud qui sous-tendent des centaines d’applications grand public. Ces identifiants de connexion sont souvent destinés à donner à l’application l’accès à un seul fichier ou service, comme un mécanisme permettant à une application d’afficher des images publiques à partir du site Web d’une entreprise ou d’exécuter du texte via un service de traduction à la demande d’un utilisateur. Mais en pratique, les chercheurs ont découvert que ces mêmes informations d’identification donnent souvent accès à tous les fichiers stockés dans un service cloud, comme les données de l’entreprise, les sauvegardes de bases de données et les composants de contrôle du système. Et lorsque plusieurs applications ont été créées par la même société de développement tierce ou intègrent les mêmes kits de développement logiciel (SDK) accessibles au public, ces jetons d’authentification statiques peuvent même donner accès à l’infrastructure et aux données utilisateur de plusieurs applications non connectées.
Tout cela signifie que si un attaquant découvrait ces jetons d’accès, il pourrait potentiellement déverrouiller des trésors massifs et disparates de données sensibles en trouvant une clé sous un paillasson.
“Le cloud est encore une sorte de nouvelle frontière. Et parfois, lorsque vous entendez parler des pratiques utilisées, vous vous rendez compte que de nombreuses organisations n’en sont peut-être pas là où elles en sont avec la sécurité sur d’autres fronts », déclare Dick O’Brien de Symantec. “Il est difficile de dire s’il s’agit de personnes qui prennent des raccourcis ou s’il s’agit simplement d’une ignorance de ce que vous exposez en publiant ces informations d’identification, mais il est certainement évident que les données ne sont pas isolées comme elles le devraient. être. “
Les chercheurs ont trouvé 1 859 applications accessibles au public sur Android et iOS qui contenaient des informations d’identification Amazon Web Services codées en dur. La grande majorité étaient des applications iOS, un écart que Symantec dit avoir suivi pendant des années mais n’a pas entièrement expliqué. Les informations d’identification présentes dans plus des trois quarts des applications donnaient accès à des services de cloud privé, et près de la moitié d’entre elles donnaient également accès à des fichiers privés. Cinquante-trois pour cent des applications contenaient des jetons d’accès qui se trouvaient également dans d’autres applications, souvent totalement indépendantes.
“Au début, c’était très surprenant, mais c’est une chose systémique”, dit O’Brien. « Les gens doivent faire un audit complet de ce qu’ils utilisent et se rendre compte qu’il y a plusieurs couches là-dedans. La pratique consistant à implémenter des clés d’accès codées en dur n’est pas géniale. Les informations d’identification temporaires qui expirent après une courte période de temps sont probablement la voie à suivre, et il faut également une plus grande prise de conscience que vous devez isoler les informations.
Symantec dit avoir informé les développeurs des applications où il voit les problèmes les plus urgents et espère sensibiliser le public à la façon dont les pratiques de développement non sécurisées et les ressources partagées peuvent créer des expositions sans examen approfondi ni segmentation.
Dans un cas, les chercheurs ont réalisé que plusieurs applications bancaires iOS grand public utilisaient toutes le même kit de développement de logiciel d’identité numérique IA tiers qui exposait les informations d’identification cloud du service partagé. Bien qu’aucune des applications bancaires elles-mêmes n’ait créé le SDK, les informations d’identification ont exposé sa structure de serveur et ses plans d’infrastructure, son code source et les modèles d’IA sous-jacents au service d’identité. Et plus de 300 000 fichiers d’empreintes digitales biométriques d’utilisateurs de cinq des applications bancaires mobiles fuyaient et étaient potentiellement exposés.
Dans un autre cas, les chercheurs ont remarqué ce qu’ils appellent une grande entreprise d’accueil et de divertissement travaillant avec une entreprise technologique sur des applications de paris sportifs. Au total, les informations d’identification codées en dur ont donné à l’infrastructure un accès à 16 applications de jeu en ligne, exposant leurs services cloud et même accordant un accès root pour prendre le contrôle de cette plate-forme backend.
O’Brien de Symantec souligne que bien que l’entreprise ne nomme pas les applications concernées, elle espère que les résultats sensibiliseront à ces pièges courants et à leur impact potentiellement démesuré sur les utilisateurs. « Les choses que nous avons trouvées illustrent l’importance de ce à quoi nous avons affaire ici », dit-il.