Zadní vrátka pro utajený přístup obsahují tisíce aplikací pro Android

18. 1. 2017

Sdílet

 Autor: Fotolia © leowolfert
Zneužít se mohou data ve službách jako Amazon Web Services, Slack, Dropbox nebo Twitter, ale také mnoha dalších.

API klíče AWS nebo přístupové tokeny na Twitter – co vše lze najít v aplikacích Androidu. Studie bezpečnostní firmy Fallible prozkoumala 16 000 aplikací na Androidu – a zjistila, že 2 500 z nich má v sobě některý druh tajné přístupové informace napevno zakódovaný.

Mnoho vývojářů aplikací pro Android stále ukládá přístupové tokeny a API klíče přímo do aplikace, čímž vystavují data uložená ve službách třetích stran bezpečnostnímu riziku.

Zahrnutí přístupových klíčů třetích stran přímo do aplikace je ospravedlnitelné ve chvíli, kdy je rozsah pravomocí a služeb tokenů omezený. V některých případech však vývojáři do aplikace zakódovali i API klíče, které přistupují k velmi citlivým datům nebo zneužitelným systémům.

To byl případ celkem 304 služeb, které obsahovaly přístupové tokeny a API klíče do služeb jako Twitter, Dropbox, Flickr, Instagram, Slack nebo AWS.

Tři sta aplikací z 16 000 se může zdát jako zanedbatelný počet, ale v závislosti na druhu a pravomocích daného tokenu či klíče může jediná uniknutá bezpečnostní informace znamenat obrovský bezpečnostní problém.

Tak například tokeny ke Slacku mohou poskytnout přístup k historii chatu využívaného vývojářským týmem, a ty mohou obsahovat dodatečné přístupové informace např. k databázím, integračním platformám a dalším vnitrofiremním službám, ani nemluvě o sdílených souborech a dokumentech.

Již minulý rok odhalili výzkumníci z bezpečnostní společnosti Detectify přes 1 500 tokenů ke Slacku, napevno zakódovaných do původních projektů na GitHubu. Na GitHubu se v minulosti objevily rovněž klíče k AWS, a to řádově v tisících. Amazon tak musel začít aktivně vyhledávat podobné úniky a uveřejněné klíče blokovat.

Některé z AWS klíčů v analyzovaných aplikacích na Androidu mělo plné pravomoce, mohly tedy vytvářet a mazat instance, popisují pracovníci Fallible v příspěvku na blogu. Mazání jednotlivých instancí AWS může vést ke ztrátě dat a vyššímu downtimu, jejich vytváření zase umožňuje útočníkům využívat výpočetní sílu na úkor zákazníka.

Nejde zdaleka o první případ, kdy se různé přístupové údaje objevují napevno zakódovány v mobilních aplikacích. V roce 2015 odhalila skupina výzkumníků z Technické univerzity v Darmstadtu v Německu přes 1 000 přístupových klíčů pro BaaS aplikační rámce uložené v aplikacích Androidu a iOS.

ICTS24

Tato data umožňovala přístup k 18,5 milionům záznamů, obsahujícím 56 milionů dat, která vývojáři k BaaS poskytovatelům (např. Parse, CloudMine nebo AWS) uložili.

Nedávno spatřil světlo světa open source nástroj Truffle Hog, který pomáhá podnikům i jednotlivcům s prohledáním svých aplikací, zda vývojáři neopomněli odstranit některé tokeny, které dovnitř vložili během vývoje a následně zapomněli odstranit.