超过40个安装超过1亿次的应用程序发现AWS密钥泄漏

大多数移动应用用户倾向于盲目相信他们从应用商店下载的应用是安全的。但情况并非总是如此。

为了大规模展示陷阱和识别漏洞，网络安全和机器智能公司CloudSEK最近提供了一个名为BeVigil的平台，个人可以在安装应用程序之前搜索和检查应用程序安全评级和其他安全问题。

与《黑客新闻》分享的一份最新报告详细介绍了BeVigil搜索引擎如何识别40多个应用程序（累计下载量超过1亿次），这些应用程序中嵌入了硬编码的Amazon Web Services（AWS）私钥，使其内部网络和用户数据面临网络攻击的风险。

BeVigil发现流行应用泄露AWS密钥

AWS密钥泄漏出现在一些主要应用程序中，如Adobe Photoshop Fix、Adobe Comp、Hootsuite、IBM的天气频道、在线购物服务俱乐部Factory和Wholee。这些发现是对提交给CloudSEK的移动应用安全搜索引擎BeVigil的10000多个应用进行分析的结果。

CloudSEK的研究人员说：“在移动应用程序源代码中硬编码的AWS密钥可能是一个巨大的问题，尤其是当[Identity and Access Management]角色具有广泛的范围和权限时。”。“在这里，滥用的可能性是无穷的，因为攻击可以链接起来，攻击者可以进一步访问整个基础设施，甚至代码库和配置。”

CloudSEK表示，它负责地向AWS和受影响的公司独立披露了这些安全问题。

在这家总部位于班加罗尔的网络安全公司分析的一个应用程序中，公开的AWS密钥可以访问多个AWS服务，包括S3存储服务的凭据，而S3存储服务反过来又可以访问88个存储桶，其中包含10073444个文件和总计5.5TB的数据。

存储桶中还包括源代码、应用程序备份、用户报告、测试工件、配置和凭据文件，这些文件可用于更深入地访问应用程序的基础设施，包括用户数据库。

最近，可从互联网访问的错误配置的AWS实例已成为许多数据泄露的原因。2019年10月，网络安全公司Imperva披露，在2017年开始对其客户数据库进行拙劣的云迁移后，其云防火墙产品的一部分未指明用户的信息可以在线访问。

上个月，一个名为ShinyHunters的臭名昭著的黑客组织访问其配置不当的AWS S3存储桶后，总部位于印度的在线交易和折扣经纪平台Upstox发生了安全事件。

Bevigil首席技术官沙鲁克·艾哈迈德（Shahrukh Ahmad）说：“硬编码的API密钥就像是锁上你的房子，但把钥匙留在一个标有‘请勿打开’的信封里。”。“这些密钥很容易被恶意黑客或竞争对手发现，他们可能会利用这些密钥破坏自己的数据和网络。”

什么是BeVigil？它是如何工作的？

BeVigil是一个移动安全搜索引擎，允许研究人员搜索应用程序元数据、查看代码、查看安全报告和风险评分，甚至扫描新的APK。

移动应用程序一直是最近许多供应链攻击的目标。攻击者将恶意代码注入应用程序开发人员使用的SDK。安全团队可以依靠BeVigil来识别任何使用恶意SDK的恶意应用。

安全研究人员可以使用元数据搜索对网络上的各种应用进行深入调查。BeVigil生成的扫描报告可供整个CloudSEK社区使用。总而言之，对于消费者和安全研究人员来说，这有点像VirusTotal。

你能在BeVigil中寻找什么？

你可以在数以百万计的应用程序中搜索易受攻击的代码片段或关键字，以了解哪些应用程序包含这些代码片段或关键字。有了它，研究人员可以轻松地分析高质量数据，关联威胁，并处理误报。

除了通过简单地输入名称来搜索特定的应用程序外，还可以找到完整的应用程序列表：

• 来自一个组织，
• above or below a certain security score; e.g., credit apps with security score 7,
• released within a certain time period (select "from" and "to" dates); e.g., identify credit apps released in 2021,
• 来自48个不同类别，如金融、教育、工具、健康和教育；健身等等。，
• 通过搜索开发人员的电子邮件地址，
• 通过搜索在特定国家开发；例如，识别来自德国的银行应用程序，
• 通过搜索pin码或开发人员电子邮件地址在特定位置开发，
• 在后台录制音频，
• 背景中的记录位置，
• 可以访问摄像头设备，
• 可以访问设备上的特定权限，
• 使用特定的目标SDK版本

除此之外，还可以使用正则表达式通过查找代码模式来查找存在安全漏洞的应用程序。