Para peneliti telah mengidentifikasi 1.859 aplikasi di Android dan iOS yang berisi kredensial Amazon Web Services (AWS) hard-coded, yang menimbulkan risiko keamanan besar.
“Lebih dari tiga perempat (77%) aplikasi berisi token akses AWS yang valid yang memungkinkan akses ke layanan cloud AWS pribadi,” tim Threat Hunter Symantec, bagian dari Broadcom Software, mengatakan dalam sebuah laporan yang dibagikan kepada The Hacker News.
Menariknya, sedikit lebih dari 50% aplikasi ditemukan menggunakan token AWS yang sama dengan yang ditemukan di aplikasi lain yang dikelola oleh pengembang dan perusahaan lain, yang menunjukkan kerentanan rantai pasokan.
Kredensial ini biasanya digunakan untuk mengunduh sumber daya yang sesuai yang diperlukan untuk fungsi aplikasi serta mengakses file konfigurasi dan mengautentikasi ke layanan cloud lainnya.
Lebih buruk lagi, 47% dari aplikasi yang diidentifikasi berisi token AWS valid yang memberikan akses lengkap ke semua file pribadi dan bucket Amazon Simple Storage Service (S3) di cloud. Ini termasuk file infrastruktur, dan cadangan data, antara lain.
Dalam satu contoh yang ditemukan oleh Symantec, sebuah perusahaan B2B yang tidak disebutkan namanya yang menawarkan platform intranet dan komunikasi yang juga menyediakan perangkat pengembangan perangkat lunak seluler (SDK) kepada pelanggannya memiliki kunci infrastruktur cloud yang tertanam di SDK untuk mengakses layanan terjemahan.
Hal ini mengakibatkan terbukanya semua data pribadi pelanggannya, yang mencakup data perusahaan dan catatan keuangan milik lebih dari 15.000 perusahaan menengah hingga besar.
“Alih-alih membatasi token akses hard-code untuk digunakan dengan layanan cloud terjemahan, siapa pun yang memiliki token memiliki akses penuh tanpa batas ke semua layanan cloud AWS perusahaan B2B,” catat para peneliti.
Selain itu ditemukan juga lima aplikasi perbankan iOS yang mengandalkan AI Digital Identity SDK yang sama yang berisi kredensial cloud, yang secara efektif membocorkan lebih dari 300.000 informasi sidik jari pengguna.
Perusahaan keamanan siber mengatakan telah memberi tahu organisasi tentang masalah yang ditemukan di aplikasi mereka.
Perkembangan ini terjadi ketika para peneliti dari CloudSEK mengungkapkan bahwa 3.207 aplikasi seluler mengekspos kunci API Twitter secara jelas, beberapa di antaranya dapat digunakan untuk mendapatkan akses tidak sah ke akun Twitter yang terkait dengannya.
Sumber: The Hackernews
