O mecanismo de pesquisa BeVigil identificou mais de 40 aplicativos — com mais de 100 milhões de downloads cumulativos — que tinham chaves privadas da Amazon Web Services (AWS) codificadas neles, o que coloca as redes internas e os usuários desses apps em risco de sofrer ataques cibernéticos. Essas chaves podem ser facilmente descobertas por hackers mal-intencionados ou concorrentes que podem usá-las para comprometer seus dados e redes.
A maioria dos usuários de aplicativos móveis tende a confiar cegamente que os aplicativos que baixam das lojas de apps são seguros e protegidos. Mas nem sempre é assim. Para demonstrar as armadilhas e identificar vulnerabilidades em grande escala, a empresa de segurança cibernética e inteligência de máquina CloudSEK desenvolveu a plataforma BeVigil que permite aos usuários pesquisar e verificar as classificações de segurança do aplicativo e outros problemas antes de instalá-lo.
O vazamento de chaves da AWS foi detectado em alguns dos principais aplicativos, como Adobe Photoshop Fix, Adobe Comp, Hootsuite, IBM Weather Channel e serviços de compras online. As descobertas são resultado de uma análise de mais de 10 mil aplicativos submetidos ao BeVigil.
“As chaves AWS codificadas em um código-fonte de aplicativo móvel podem ser um grande problema, especialmente se a função [gerenciamento de identidade e acesso] tiver amplo escopo e permissões”, disseram os pesquisadores da CloudSEK. “As possibilidades de uso indevido são infinitas aqui, uma vez que os ataques podem ser encadeados e o invasor pode obter acesso adicional a toda a infraestrutura, até mesmo à base de código e às configurações.”
A CloudSEK disse que alertou a AWS e as empresas afetadas sobre esses riscos a segurança.
Em um aplicativo analisado pela empresa, a chave AWS exposta permitia acesso a vários serviços AWS, incluindo credenciais para o serviço de armazenamento S3, que por sua vez abriu acesso a 88 depósitos contendo 10.073.444 arquivos e dados de 5,5 terabytes.
Também incluídos nos intervalos estavam o código-fonte, backups de aplicativos, relatórios de usuários, artefatos de teste, arquivos de configuração e credenciais que poderiam ser usados para obter acesso mais profundo à infraestrutura do aplicativo, incluindo bancos de dados de usuários.
Instâncias AWS configuradas incorretamente e acessíveis a partir da internet têm sido a causa de muitas violações de dados recentemente. Em outubro de 2019, a empresa de segurança cibernética Imperva divulgou que as informações de um subconjunto não especificado de usuários de seu produto Cloud Firewall estavam acessíveis online após uma falha na migração para a nuvem de seu banco de dados de clientes que começou em 2017.
No mês passado, a plataforma de corretagem online e de descontos com sede na Índia Upstox sofreu um incidente de segurança depois que um grupo de hackers conhecido como ShinyHunters acessou seu bucket (contêiner de objetos) AWS S3 configurado incorretamente.
Veja isso
Encontrados 10 aplicativos do Google Play contendo malware bancário
App Store remove 17 apps maliciosos para iPhone
O que pesquisar no BeVigil
A plataforma BeVigil permite pesquisar milhões de aplicativos em busca de trechos de código vulneráveis ou palavras-chave para saber quais aplicativos os contêm. Com isso, os usuários podem facilmente analisar dados de qualidade, correlacionar ameaças e lidar com falsos positivos.
Além de pesquisar um aplicativo específico simplesmente digitando o nome, também é possível encontrar uma lista completa de aplicativos:
- De uma organização, acima ou abaixo de uma determinada pontuação de segurança; por exemplo, aplicativos de crédito com pontuação de segurança 7, lançado dentro de determinado período (selecione as datas “de” e “até”); por exemplo, identificar aplicativos de crédito lançados em 2021, em 48 categorias diferentes, como finanças, educação, ferramentas, saúde e boa forma, etc.;
- De um desenvolvedor específico, pesquisando com o endereço de e-mail do desenvolvedor, desenvolvido em um país específico por meio de pesquisa; por exemplo, identificar aplicativos bancários da Alemanha, desenvolvido em um local específico, pesquisando com o código PIN ou endereço de e-mail do desenvolvedor, que gravam áudio em segundo plano, bem como o local de registro em segundo plano, que pode acessar o dispositivo de câmera ou acessar permissões específicas em seu dispositivo, com uma versão de SDK de destino específica;
- Além desses, também é possível usar Regexes para encontrar aplicativos com vulnerabilidades de segurança, procurando por padrões de código.
