安装量超过1亿的40款应用程序被发现泄漏AWS密钥

大多数手机应用用户倾向于盲目地相信他们从应用商店下载的应用是安全的，但实际情况并非总是如此。

为了大规模介绍这些漏洞并方便用户进行识别，网络安全和机器智能公司CloudSEK最近提供了一个名为BeVigil的平台，用户可以在安装应用程序之前搜索和检查应用程序的安全评级和其他安全问题。

与The Hacker News共享的最新报告详细说明了BeVigil搜索引擎是如何识别40多个应用程序(累计下载量超过1亿次)，这些应用程序中嵌入了硬编码的Amazon Web Services(AWS)专用密钥，从而将其内部网络和用户数据面临网络攻击的风险。

BeVigil发现流行的应用程序泄漏了AWS密钥

AWS密钥泄漏已在一些主要应用程序中被发现，例如Adobe Photoshop Fix，Adobe Comp，Hootsuite，IBM的Weather Channel以及在线购物服务Club Factory和Wholee。这些结果是对提交给CloudSEK的移动应用安全搜索引擎BeVigil的1万多个应用程序进行分析后得出的。

CloudSEK研究人员表示:

在移动应用程序源代码中硬编码的AWS密钥可能是一个巨大的漏洞，特别是如果(身份和访问管理)角色具有广泛的范围和权限。误用的可能性非常大且攻击的危害性非常大，因为攻击可以链接，攻击者可以进一步访问整个基础设施，甚至代码库和配置。

CloudSEK表示，它负责任地向AWS和受影响的公司独立披露了这些安全问题。

在总部位于班加罗尔的网络安全公司分析的应用程序中，公开的AWS密钥可以访问多个AWS服务，包括S3存储服务的凭据，这反过来又可以访问88个存储桶，其中包含10073444个文件和数据，总计5.5 tb。

存储桶中还包括源代码、应用程序备份、用户报告、测试工件、配置和凭据文件，这些文件可以用来深入访问应用程序的基础设施，包括用户数据库。

从互联网访问的错误配置AWS实例是最近许多数据泄漏的原因。2019年10月，网络安全公司Imperva披漏，在2017年开始的一次客户数据库云迁移失败后，其云防火墙产品的一部分用户的信息可以在网上访问。

上个月, 印度股票交易平台 Upstox 发布公告称遭受黑客攻击，发生了严重的数据泄露事件，数百万客户的个人信息可能已经被窃取。泄漏数据包括：客户的姓名，联系信息，出生日期，银行帐户信息以及数百万个KYC(Know Your Customer)详细信息，Upstox 认为这些信息是 ShinyHunters 黑客团伙在访问公司的 Amazon AWS 密钥后盗用的。经分析，是Upstox配置了错误的AWS S3存储桶。对 KYC 数据的泄露尤其严重，因为它可能包含身份证，护照，带照片的身份证件以及其他文件的扫描件，这些文件可以证明个人的住所，例如水电费账单。此类信息可帮助金融组织确定客户的真实身份，并打击洗钱和资助恐怖主义行为，但如果这些信息落入不法份子之手，则可能被身份盗用者和骗子滥用。

Bevigil首席技术官Shahrukh Ahmad说:

硬编码API密钥就像给你的房子加了锁，但将密钥留在标有’请勿打开’的信封中。这些密钥很容易被恶意黑客或竞争对手发现，他们可以使用它们来破坏其数据和网络。

什么是BeVigil，它是如何工作的?

BeVigil是一个移动安全搜索引擎，它允许研究人员搜索应用的元数据，审查他们的代码，查看安全报告和风险评分，甚至扫描新的APK。

移动应用程序已成为许多最近的供应链攻击的目标，攻击者将恶意代码注入到应用程序开发人员使用的SDK中。安全团队可以依靠BeVigil来识别使用恶意SDK的任何恶意应用。通过使用元数据搜索，安全研究人员可以对网络上的各种应用程序进行深入调查。BeVigil生成的扫描报告可供整个CloudSEK社区使用。总之，对于消费者和安全研究人员来说，它有点像VirusTotal。