Se encontraron más de 40 aplicaciones con más de 100 millones de instalaciones con fugas de claves de AWS

La mayoría de los usuarios de aplicaciones móviles tienden a confiar ciegamente en que las aplicaciones que descargan son seguras y protegidas. Pero ese no es siempre el caso. Para demostrar las trampas e identificar vulnerabilidades a gran escala, la empresa de ciberseguridad e inteligencia de máquinas CloudSEK proporcionó recientemente una plataforma llamada BeVigil donde las personas pueden […]

La mayoría de los usuarios de aplicaciones móviles tienden a confiar ciegamente en que las aplicaciones que descargan son seguras y protegidas. Pero ese no es siempre el caso.

Para demostrar las trampas e identificar vulnerabilidades a gran escala, la empresa de ciberseguridad e inteligencia de máquinas CloudSEK proporcionó recientemente una plataforma llamada BeVigil donde las personas pueden buscar y verificar las calificaciones de seguridad de las aplicaciones y otros problemas de seguridad antes de instalar una aplicación.

Un último informe detalló cómo el motor de búsqueda BeVigil identificó más de 40 aplicaciones, con más de 100 millones de descargas acumuladas, que tenían claves privadas de Amazon Web Services (AWS) codificadas en su interior, colocando sus redes internas y sus usuarios.

Aplicaciones populares que filtran claves de AWS

La fuga de claves de AWS se detectó en algunas de las principales aplicaciones como Adobe Photoshop Fix, Adobe Comp, Hootsuite, IBM’s Weather Channel y los servicios de compras en línea Club Factory y Wholee. Los hallazgos son el resultado de un análisis de más de 10,000 aplicaciones enviadas a BeVigil de CloudSEK, un motor de búsqueda de seguridad de aplicaciones móviles.

“Las claves de AWS codificadas en el código fuente de una aplicación móvil pueden ser un gran problema, especialmente si su función [Gestión de identidades y accesos] tiene un alcance y permisos amplios”, dijeron los investigadores de CloudSEK. “Las posibilidades de uso indebido son infinitas aquí, ya que los ataques se pueden encadenar y el atacante puede obtener más acceso a toda la infraestructura, incluso la base del código y las configuraciones”.

CloudSEK dijo que reveló de manera responsable estas preocupaciones de seguridad a AWS y a las empresas afectadas de forma independiente.

En una aplicación analizada por la firma de ciberseguridad, la clave de AWS expuesta tenía acceso a múltiples servicios de AWS, incluidas las credenciales para el servicio de almacenamiento S3, que a su vez abrió el acceso a 88 depósitos que contenían 10.073.444 archivos y datos por un valor de 5,5 terabytes.

También se incluyeron en los depósitos el código fuente, las copias de seguridad de la aplicación, los informes de usuario, los artefactos de prueba, los archivos de configuración y credenciales que podrían usarse para obtener un acceso más profundo a la infraestructura de la aplicación, incluidas las bases de datos de los usuarios.