Home Sociedad Más de 1.000 aplicaciones de iOS, exponen credenciales de AWS codificadas

Más de 1.000 aplicaciones de iOS, exponen credenciales de AWS codificadas

Investigadores de seguridad están dando la voz de alarma sobre los desarrolladores de aplicaciones móviles que confían en prácticas inseguras que exponen las credenciales de Amazon Web Services (AWS), lo que hace que la cadena de suministro sea vulnerable.

Los actores maliciosos podrían aprovechar esto para acceder a bases de datos privadas, lo que llevaría a violaciones de datos y la exposición de los datos personales de los clientes.

Los investigadores del equipo de Threat Hunting de Symantec, que forma parte de Broadcom Software, encontraron 1.859 aplicaciones que contenían credenciales de AWS codificadas, la mayoría de las cuales eran aplicaciones para iOS y sólo 37 para Android.

Aproximadamente el 77% de esas aplicaciones contenían tokens de acceso a AWS válidos que podían utilizarse para acceder directamente a los servicios de la nube privada.

Además, 874 aplicaciones contenían tokens de AWS válidos que los hackers pueden utilizar para acceder a instancias de la nube que contienen bases de datos de servicios en vivo que contienen millones de registros.

Estas bases de datos suelen contener detalles de cuentas de usuario, registros, comunicación interna, información de registro y otros datos sensibles, dependiendo del tipo de aplicación.

Los analistas de amenazas destacan en su informe tres casos notables en los que los tokens de AWS expuestos podrían haber tenido consecuencias catastróficas tanto para los autores como para los usuarios de las aplicaciones vulnerables.

El problema de las credenciales de servicios en la nube codificadas y “olvidadas” es básicamente un problema de la cadena de suministro, ya que la negligencia de un desarrollador de SDK puede afectar a todo un conjunto de aplicaciones y servicios que dependen de él.

El desarrollo de aplicaciones móviles se basa en componentes ya preparados en lugar de crear todo desde cero, por lo que si los editores de aplicaciones no realizan una comprobación exhaustiva de los SDK o las bibliotecas que utilizan, es probable que se propague un riesgo de seguridad en su proyecto.