Onderzoekers van Symantec waarschuwen voor het gevaar van hard-coded inloggegevens in mobiele apps. Het securitybedrijf ontdekte access tokens voor AWS-omgevingen in bijna 2.000 apps voor iOS en Android.
Hard-coded gegevens zijn gegevens die in de broncode van software worden vermeld. Hard-coded inloggegevens stellen een applicatie in staat om te verbinden met een beveiligde, externe opslaglocatie of app. Hard-coded inloggegevens zijn gevaarlijk in openbare applicaties. Zodra de broncode lekt liggen de inloggegevens voor het oprapen.
Tijdens een recent onderzoek vond securitybedrijf Symantec inloggegevens voor AWS-omgevingen in bijna 2.000 iOS en Android apps. Ongeveer driekwart van de apps bevatte AWS tokens voor toegang tot private-cloud omgevingen. Bijna 900 van de apps bevatte AWS tokens voor toegang tot cloud instances met databases van miljoenen bestanden, waaronder gebruikersgegeven en logs.
Gevolgen
Drie van de gevallen waren bijzonder riskant. Het eerste voorbeeld is de app van een communicatiedienstverlener voor meer dan 15.000 midden- en grootbedrijven. De organisatie voorziet klanten van een software development kit (SDK). De SDK staat bol van de AWS access tokens. Zodra de SDK in de verkeerde handen belandt staan de tokens op het spel.
Het tweede voorbeeld is een SDK die door de apps van meerdere banken wordt gebruikt. De SDK bevat hard-coded inloggegevens voor cloud storage-locaties met de persoonsgegevens van klanten. Namen, geboortedata en zelfs vingerafdrukken waren beschikbaar. Het derde voorbeeld is een platform voor zestien online gokapps. De broncode van het platform bood beheerderstoegang tot de volledige infrastructuur.
Voorkomen
De meeste developers hebben geen idee dat hun apps accountgegevens blootstellen. Volgens Symantec blijven de gegevens vaak onbedoeld achter na het ontwikkelingsproces. Apps gebruiken access tokens om te verbinden met externe data en apps, bijvoorbeeld een configuratiebestand of vertaaldienst. Zodra de app in een productieomgeving belandt hoort de access token verborgen of verwijderd te zijn. Het laatste wordt te vaak vergeten.
Tip: Data privacy: van noodzakelijke security-stap tot competitief voordeel
12 uur geleden
