Forscher haben 1.859 Apps für Android und iOS identifiziert, die fest kodierte Zugangsdaten für Amazon Web Services (AWS) enthalten und damit ein großes Sicherheitsrisiko darstellen.
„Mehr als drei Viertel (77 %) der Apps enthielten gültige AWS-Zugangsdaten, die den Zugriff auf private AWS-Cloud-Dienste ermöglichten“, so das Threat Hunter-Team von Symantec, das zu Broadcom Software gehört, in einem Bericht an The Hacker News.
Interessanterweise wurden in etwas mehr als 50 % der Apps dieselben AWS-Tokens gefunden, die auch in anderen Apps anderer Entwickler und Unternehmen verwendet wurden, was auf eine Schwachstelle in der Lieferkette hinweist.
Das deutet auf eine Schwachstelle in der Lieferkette hin. „Die AWS-Zugangs-Tokens konnten zu einer gemeinsam genutzten Bibliothek, einem SDK eines Drittanbieters oder einer anderen gemeinsam genutzten Komponente zurückverfolgt werden, die bei der Entwicklung der Apps verwendet wurde“, so die Forscher.
Diese Zugangsdaten werden in der Regel für das Herunterladen von Ressourcen verwendet, die für die Funktionen der App erforderlich sind, sowie für den Zugriff auf Konfigurationsdateien und die Authentifizierung bei anderen Cloud-Diensten.
Erschwerend kommt hinzu, dass 47 % der identifizierten Apps gültige AWS-Tokens enthielten, die vollständigen Zugriff auf alle privaten Dateien und Amazon Simple Storage Service (S3)-Buckets in der Cloud gewährten. Dazu gehörten u. a. Infrastrukturdateien und Datensicherungen.
In einem von Symantec aufgedeckten Fall hatte ein ungenanntes B2B-Unternehmen, das eine Intranet- und Kommunikationsplattform anbietet und seinen Kunden auch ein mobiles Software Development Kit (SDK) zur Verfügung stellt, seine Cloud-Infrastrukturschlüssel in das SDK für den Zugriff auf den Übersetzungsdienst integriert.
Dies führte dazu, dass alle privaten Daten der Kunden offengelegt wurden, darunter Unternehmensdaten und Finanzunterlagen von über 15.000 mittelgroßen bis großen Unternehmen.
„Anstatt das fest kodierte Zugriffstoken für die Nutzung des Übersetzungs-Cloud-Dienstes zu beschränken, hatte jeder, der das Token besaß, uneingeschränkten Zugriff auf alle AWS-Cloud-Dienste des B2B-Unternehmens“, so die Forscher.
Außerdem wurden fünf iOS-Banking-Apps aufgedeckt, die auf demselben AI Digital Identity SDK basierten, das auch die Cloud-Zugangsdaten enthielt, so dass die Fingerabdruckdaten von mehr als 300.000 Nutzern bekannt wurden.
Das Cybersecurity-Unternehmen erklärte, dass es die Unternehmen über die in ihren Apps entdeckten Probleme informiert hat.
Die Entwicklung kommt, nachdem Forscher von CloudSEK aufgedeckt haben, dass 3.207 mobile Apps Twitter-API-Schlüssel offenlegen, von denen einige genutzt werden können, um unbefugten Zugriff auf die mit ihnen verbundenen Twitter-Konten zu erhalten.