Várias aplicações móveis populares para iOS e Android vêm com credenciais codificadas em texto simples e não criptografadas para serviços em nuvem como Amazon Web Services (AWS) e Microsoft Azure Blob Storage, expondo dados dos usuários e código-fonte a violações de segurança.
A exposição desse tipo de credenciais pode facilmente levar a acessos não autorizados a buckets de armazenamento e bancos de dados com dados sensíveis dos usuários.
Além disso, um atacante poderia usar essas credenciais para manipular ou roubar dados.
De acordo com um relatório da Symantec, uma empresa da Broadcom, essas chaves estão presentes nos códigos das apps devido a erros e más práticas durante a fase de desenvolvimento.
"Análises recentes descobriram uma tendência preocupante: várias apps amplamente usadas foram encontradas contendo credenciais de serviço em nuvem codificadas em texto simples e não criptografadas dentro de seus códigos-fonte," explica a Symantec.
"Essa prática perigosa significa que qualquer pessoa com acesso ao binário ou código-fonte da app pode potencialmente extrair essas credenciais e usá-las indevidamente para manipular ou exfiltrar dados, levando a graves violações de segurança," dizem os pesquisadores.
A Symantec afirma que seus pesquisadores encontraram credenciais para serviços em nuvem nas seguintes apps no Google Play:
- Pic Stitch – Mais de 5M de downloads – Credenciais codificadas da Amazon
- Meru Cabs – Mais de 5M de downloads – Credenciais codificadas do Microsoft Azure Blob Storage
- Sulekha Business – Mais de 500K downloads – Credenciais codificadas do Microsoft Azure Blob Storage
- ReSound Tinnitus Relief – Mais de 500K downloads – Credenciais codificadas do Microsoft Azure Blob Storage
- Saludsa – Mais de 100K downloads – Credenciais codificadas do Microsoft Azure Blob Storage
- Chola Ms Break In – Mais de 100K downloads – Credenciais codificadas do Microsoft Azure Blob Storage
- EatSleepRIDE Motorcycle GPS – Mais de 100K downloads – Credenciais codificadas da Twilio
- Beltone Tinnitus Calmer – Mais de 100K downloads – Credenciais codificadas do Microsoft Azure Blob Storage
Eles também descobriram credenciais em várias apps populares listadas na App Store da Apple:
- Crumbl – Mais de 3,9M de avaliações – Credenciais codificadas da Amazon
- Eureka: Earn money for surveys – Mais de 402,1K avaliações – Credenciais codificadas da Amazon
- Videoshop – Video Editor – Mais de 357,9K avaliações – Credenciais codificadas da Amazon
- Solitaire Clash: Win Real Cash – Mais de 244,8K avaliações – Credenciais codificadas da Amazon
- Zap Surveys – Earn Easy Money – Mais de 235K avaliações – Credenciais codificadas da Amazon
Embora a App Store não divulgue o número de downloads, este número é tipicamente muito maior do que a quantidade de avaliações listadas.
Vale destacar que o Google exibe na Play Store o número total de downloads durante a vida útil da app e isso não reflete as instalações ativas.
A presença de qualquer uma das apps acima no seu telefone não significa que seus dados pessoais foram roubados, mas sim que estão acessíveis e hackers poderiam exfiltrá-los, a menos que os desenvolvedores tomem medidas e eliminem o risco.
Em setembro de 2022, a Symantec alertou sobre esse risco, destacando que seus pesquisadores encontraram mais de 1.800 apps para iOS e Android que continham credenciais da AWS, sendo que 77% das apps tinham tokens de acesso válidos no código-fonte.
Os pesquisadores recomendam aos desenvolvedores seguir as melhores práticas para proteger informações sensíveis em apps móveis.
Isso inclui usar variáveis de ambiente para armazenar credenciais, utilizar ferramentas de gerenciamento de segredos (por exemplo, AWS Secrets Manager, Azure Key Vault), criptografar dados, revisões e auditorias regulares do código e integrar varreduras de segurança automatizadas no início do processo de desenvolvimento para detectar dados sensíveis ou questões de segurança.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...