数百万 Android 和 iOS 应用中发现 AWS、Azure 身份验证密钥

admin
admin
admin
139024
文章
114
评论
2024年10月23日10:35:26评论36 views字数 5769阅读19分13秒阅读模式

导 

多款流行的 iOS 和 Android 移动应用程序都带有 Amazon Web Services (AWS) 和 Microsoft Azure Blob Storage 等云服务的硬编码、未加密凭证,从而将用户数据和源代码暴露于安全漏洞之中。

数百万 Android 和 iOS 应用中发现 AWS、Azure 身份验证密钥

暴露此类凭据很容易导致未经授权访问包含敏感用户数据的存储桶和数据库。除此之外,攻击者还可以利用它们来操纵或窃取数据。

根据赛门铁克的报告,这些密钥存在于应用程序的代码库中,是因为开发阶段的错误和不良做法。

赛门铁克解释说:“最近的分析发现了一个令人不安的趋势:一些广泛使用的应用程序被发现在其代码库中包含硬编码和未加密的云服务凭证。”

研究人员表示:“这种危险的做法意味着,任何有权访问该应用程序的二进制文件或源代码的人都可能提取这些凭证并滥用它们来操纵或窃取数据,从而导致严重的安全漏洞。”

赛门铁克表示,其研究人员在 Google Play 上的以下应用中发现了云服务凭证:

  • Pic Stitch – 500 万次以上下载 – Amazon 硬编码凭证

  • Meru Cabs – 500 万次以上下载 – Microsoft Azure Blob 存储硬编码凭证

  • Sulekha Busines s – 500K+ 次下载 – Microsoft Azure Blob Storage 硬编码凭据

  • ReSound Tinnitus Relief – 500K+ 下载量 – Microsoft Azure Blob Storage 硬编码凭证

  • Saludsa ——10 万次以上下载——Microsoft Azure Blob Storage 硬编码凭证

  • Chola Ms Break In – 100K+ 次下载 – Microsoft Azure Blob Storage 硬编码凭据

  • EatSleepRIDE 摩托车 GPS – 10 万次以上下载 – Twilio 硬编码凭证

  • Beltone Tinnitus Calmer – 10 万次以上下载 – Microsoft Azure Blob Storage 硬编码凭证

数百万 Android 和 iOS 应用中发现 AWS、Azure 身份验证密钥

Pic Stitch 代码上的暴露的凭证

他们还在苹果应用商店中列出的几款热门应用中发现了凭证:

  • Crumbl – 390万+评分 – 亚马逊硬编码凭证

  • Eureka:通过调查赚钱 – 402.1K+ 评分 – 亚马逊硬编码凭证

  • Videoshop – 视频编辑器– 357.9K+ 评分 – Amazon 硬编码凭证

  • Solitaire Clash:赢得真实现金– 244.8K+ 评分 – 亚马逊硬编码凭证

  • Zap Surveys – 轻松赚钱– 235K+ 评分 – 亚马逊硬编码凭证

数百万 Android 和 iOS 应用中发现 AWS、Azure 身份验证密钥

Crumbl 代码库中的 AWS 凭证

值得注意的是,谷歌在 Play Store 中显示的是应用程序生命周期内的总下载次数,并不反映活跃安装次数。

您的手机上存在上述任何应用程序并不意味着您的个人数据已被盗,但意味着您的数据是可访问的,并且黑客可能会窃取这些数据,除非开发人员采取行动并消除风险。

2022 年 9 月,赛门铁克对此风险发出了警报,强调其研究人员发现超过1,800 个 iOS 和 Android 应用程序包含 AWS 凭证,其中 77% 的应用程序在代码库中拥有有效的访问令牌。

研究人员建议开发人员遵循最佳实践来保护移动应用程序中的敏感信息。

这包括使用环境变量存储凭证、使用机密管理工具(例如 AWS Secrets Manager、Azure Key Vault)、加密数据、定期代码审查和审计,以及在开发过程早期集成自动安全扫描以检测敏感数据或安全问题。

赛门铁克的报告原文:https://www.security.com/threat-intelligence/exposing-danger-within-hardcoded-cloud-credentials-popular-mobile-apps

新闻链接:

https://www.bleepingcomputer.com/news/security/aws-azure-auth-keys-found-in-android-and-ios-apps-used-by-millions/

数百万 Android 和 iOS 应用中发现 AWS、Azure 身份验证密钥

今日安全资讯速递

APT事件

Advanced Persistent Threat

塞浦路斯关键基础设施遭受与亲巴勒斯坦组织有关的协同网络攻击

https://therecord.media/cyprus-critical-infrastructure-cyberattack-israel-palestine

研究人员称,与伊朗有关的黑客越来越多地监视海湾地区政府

https://therecord.media/iran-linked-hackers-espionage-persian-gulf-countries

不明黑客组织利用 Roundcube Webmail XSS 漏洞窃取登录凭证

https://thehackernews.com/2024/10/hackers-exploit-roundcube-webmail-xss.html

黑客组织 APT41 进军博彩业以牟取经济利益

https://thehackernews.com/2024/10/chinese-nation-state-hackers-apt41-hit.html

加密平台 Radiant Capital 称账户被盗导致 5000 万美元数字货币被盗

https://therecord.media/crypto-platform-radiant-capital-50-million-stolen

Crypt Ghouls 利用 LockBit 3.0 和 Babuk 勒索软件攻击俄罗斯公司

https://thehackernews.com/2024/10/crypt-ghouls-targets-russian-firms-with.html

与朝鲜有关的组织 APT37 利用 Internet Explorer 0day漏洞发起供应链攻击

https://securityaffairs.com/169983/apt/north-korea-apt37-ie-zero-day.html

摩尔多瓦正面临前所未有的复杂和侵略性的虚假信息浪潮

https://www.wired.com/story/the-disinformation-warning-coming-from-the-edge-of-europe/

越南黑客组织针对数字营销专业人士的多阶段恶意软件攻击

https://thecyberexpress.com/quasar-rat/

ESET 合作伙伴遭入侵,向以色列组织发送数据擦除器

https://www.bleepingcomputer.com/news/security/eset-partner-breached-to-send-data-wipers-to-israeli-orgs/

朝鲜 APT 组织利用 IE 0day漏洞发起供应链攻击

https://www.securityweek.com/north-korean-apt-exploited-ie-zero-day-in-supply-chain-attack/

美国及其盟友警告伊朗将在一年内对关键基础设施发动网络攻击https://thehackernews.com/2024/10/us-and-allies-warn-of-iranian.html

一般威胁事件

General Threat Incidents

数百万 Android 和 iOS 应用中发现 AWS、Azure 身份验证密钥

https://www.bleepingcomputer.com/news/security/aws-azure-auth-keys-found-in-android-and-ios-apps-used-by-millions/

Gophish 框架用于网络钓鱼活动以部署远程访问木马

https://thehackernews.com/2024/10/gophish-framework-used-in-phishing.html

macOS HM Surf 漏洞可能已被主要恶意软件家族利用

https://www.theregister.com/2024/10/21/microsoft_macos_hm_surf/

日本电动机制造商 Nidec 确认数据在勒索软件攻击中被盗

https://www.securityweek.com/electric-motor-giant-nidec-confirms-data-stolen-in-ransomware-attack/

卡西欧称,勒索软件攻击可能导致交货延迟

https://therecord.media/japan-casio-delays-watchmaker-ransomware

网络犯罪分子利用 Docker API 服务器进行 SRBMiner 加密货币挖矿攻击

https://thehackernews.com/2024/10/cybercriminals-exploiting-docker-api.html

Bumblebee和Latrodectus 恶意软件带着复杂的网络钓鱼策略卷土重来

https://thehackernews.com/2024/10/bumblebee-and-latrodectus-malware.html

恶意 npm 软件包利用 SSH 后门攻击开发人员的以太坊钱包

https://thehackernews.com/2024/10/malicious-npm-packages-target.html

BlackCat 勒索软件继任者 Cicada3301 出现

https://www.securityweek.com/blackcat-ransomware-successor-cicada3301-emerges/

超过 6,000 个 WordPress 网站被黑客入侵,安装推送信息窃取程序的插件

https://www.bleepingcomputer.com/news/security/over-6-000-wordpress-hacked-to-install-plugins-pushing-infostealers/

联合国数据库遭泄露 敏感信息可在线访问

https://www.wired.com/story/un-women-database-exposure/

Lumma Stealer 利用虚假 CAPTCHA 页面传播无文件恶意软件

https://hackread.com/fake-captcha-pages-lumma-stealer-fileless-malware/

网络犯罪分子越来越多地使用 Latrodectus 恶意软件

https://www.securityweek.com/latrodectus-malware-increasingly-used-by-cybercriminals/

漏洞事件

Vulnerability Incidents

谷歌警告三星0day漏洞遭野外利用

https://www.securityweek.com/google-warns-of-samsung-zero-day-exploited-in-the-wild/

严重漏洞导致 mbNET.mini、Helmholz 工业路由器遭受攻击

https://www.securityweek.com/critical-vulnerabilities-expose-mbnet-mini-helmholz-industrial-routers-to-attacks/

Atlassian 修补 Bitbucket、Confluence、Jira 中的漏洞

https://www.securityweek.com/atlassian-patches-vulnerabilities-in-bitbucket-confluence-jira/

在主动0day攻击后,CISA 将 ScienceLogic SL1 漏洞添加到利用目录中

https://thehackernews.com/2024/10/cisa-adds-sciencelogic-sl1.html

Styra OPA 中的安全漏洞将 NTLM 哈希暴露给远程攻击者

https://thehackernews.com/2024/10/security-flaw-in-styras-opa-exposes.html

针对新 Windows Server“WinReg”NTLM 中继攻击的漏洞POC已发布

https://www.bleepingcomputer.com/news/security/exploit-released-for-new-windows-server-winreg-ntlm-relay-attack/

VMware 发布 vCenter Server 更新以修复严重 RCE 漏洞

https://thehackernews.com/2024/10/vmware-releases-vcenter-server-update.html

“HM Surf” macOS 漏洞可让攻击者访问摄像头和麦克风

https://hackread.com/hm-surf-macos-flaw-attackers-access-camera-mic/

Kubernetes 镜像生成器中存在严重漏洞,导致节点面临 Root 访问权限

https://thecyberexpress.com/kubernetes-image-builder-vulnerability/

Linux 上的 Intel、AMD CPU 受到最新披露的 Spectre 绕过的影响

https://www.bleepingcomputer.com/news/security/intel-amd-cpus-on-linux-impacted-by-newly-disclosed-spectre-bypass/

最常被利用的漏洞是一个已有 4 年历史的漏洞,可能仍然存在于数亿台设备中

https://thecyberexpress.com/most-exploited-vulnerability/

数百万 Android 和 iOS 应用中发现 AWS、Azure 身份验证密钥

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

原文始发于微信公众号(军哥网络安全读报):数百万 Android 和 iOS 应用中发现 AWS、Azure 身份验证密钥

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月23日10:35:26
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   数百万 Android 和 iOS 应用中发现 AWS、Azure 身份验证密钥https://cn-sec.com/archives/3304930.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息