安装量超过1亿的40款应用程序被发现泄漏AWS密钥
大多数手机应用用户倾向于盲目地相信他们从应用商店下载的应用是安全的,但实际情况并非总是如此。
为了大规模介绍这些漏洞并方便用户进行识别,网络安全和机器智能公司CloudSEK最近提供了一个名为BeVigil的平台,用户可以在安装应用程序之前搜索和检查应用程序的安全评级和其他安全问题。
与TheHackerNews共享的最新报告详细说明了BeVigil搜索引擎是如何识别40多个应用程序(累计下载量超过1亿次),这些应用程序中嵌入了硬编码的AmazonWebServices(AWS)专用密钥,从而将其内部网络和用户数据面临网络攻击的风险。
BeVigil发现流行的应用程序泄漏了AWS密钥
AWS密钥泄漏已在一些主要应用程序中被发现,例如Adobe Photoshop Fix,AdobeComp,Hootsuite,IBM的WeatherChannel以及在线购物服务ClubFactory和Wholee。这些结果是对提交给CloudSEK的移动应用安全搜索引擎BeVigil的1万多个应用程序进行分析后得出的。
CloudSEK研究人员表示:
- 在移动应用程序源代码中硬编码的AWS密钥可能是一个巨大的漏洞,特别是如果(身份和访问管理)角色具有广泛的范围和权限。误用的可能性非常大且攻击的危害性非常大,因为攻击可以链接,攻击者可以进一步访问整个基础设施,甚至代码库和配置。
CloudSEK表示,它负责任地向AWS和受影响的公司独立披露了这些安全问题。
在总部位于班加罗尔的网络安全公司分析的应用程序中,公开的AWS密钥可以访问多个AWS服务,包括S3存储服务的凭据,这反过来又可以访问88个存储桶,其中包含10073444个文件和数据,总计5.5tb。
存储桶中还包括源代码、应用程序备份、用户报告、测试工件、配置和凭据文件,这些文件可以用来深入访问应用程序的基础设施,包括用户数据库。
从互联网访问的错误配置AWS实例是最近许多数据泄漏的原因。2019年10月,网络安全公司Imperva披漏,在2017年开始的一次客户数据库云迁移失败后,其云防火墙产品的一部分用户的信息可以在网上访问。
上个月, 印度股票交易平台Upstox发布公告称遭受黑客攻击,发生了严重的数据泄露事件,数百万客户的个人信息可能已经被窃取。泄漏数据包括:客户的姓名,联系信息,出生日期,银行帐户信息以及数百万个KYC(KnowYourCustomer)详细信息,Upstox 认为这些信息是 ShinyHunters 黑客团伙在访问公司的 AmazonAWS密钥后盗用的。经分析,是Upstox配置了错误的AWS S3存储桶。对KYC数据的泄露尤其严重,因为它可能包含身份证,护照,带照片的身份证件以及其他文件的扫描件,这些文件可以证明个人的住所,例如水电费账单。此类信息可帮助金融组织确定客户的真实身份,并打击洗钱和资助恐怖主义行为,但如果这些信息落入不法份子之手,则可能被身份盗用者和骗子滥用。
Bevigil首席技术官Shahrukh Ahmad说:
- 硬编码API密钥就像给你的房子加了锁,但将密钥留在标有'请勿打开'的信封中。这些密钥很容易被恶意黑客或竞争对手发现,他们可以使用它们来破坏其数据和网络。
什么是BeVigil,它是如何工作的?
BeVigil是一个移动安全搜索引擎,它允许研究人员搜索应用的元数据,审查他们的代码,查看安全报告和风险评分,甚至扫描新的APK。
移动应用程序已成为许多最近的供应链攻击的目标,攻击者将恶意代码注入到应用程序开发人员使用的SDK中。安全团队可以依靠BeVigil来识别使用恶意SDK的任何恶意应用。通过使用元数据搜索,安全研究人员可以对网络上的各种应用程序进行深入调查。BeVigil生成的扫描报告可供整个CloudSEK社区使用。总之,对于消费者和安全研究人员来说,它有点像VirusTotal。
你可以在BeVigil中寻找什么?
你可以在数以百万计的应用程序中搜索易受攻击的代码片段或关键字,以了解哪些应用程序包含这些代码。这样,研究人员可以轻松分析质量数据,关联威胁并处理误报。
除了通过简单地输入名称来搜索特定应用程序外,还可以找到整个应用程序列表:
- 来自哪个开发组织;
- 高于或低于一定的安全评分;例如,安全得分为7的信用应用程序;
- 在特定时间段内发布(选择“开始”和“结束”日期),例如,确定2021年发布的信用应用;
- 来自48个不同类别,例如金融、教育、工具、健康与健身等;
- 通过搜索特定开发者的电子邮件地址;
- 通过搜索在特定国家/地区开发的程序,例如,识别来自德国的银行应用;
- 通过搜索个人识别码或开发者电子邮件地址在特定位置开发的应用;
- 在后台录制音频;
- 在后台记录位置;
- 可以访问摄像头设备;
- 可以访问;设备上的特定权限;
- 使用特定的目标SDK版本;
- 除此之外,还可以使用正则表达式通过查找代码模式来查找具有安全漏洞的应用程序;
推荐系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10电脑公司 装机专用系统Windows10 x64 企业版2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x86 企业装机版2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.15GB系统类型:Win10
相关文章
- 对中东石油和天然气供应链产业的APT攻击
- Gartner发布2020年端点安全技术成熟度曲线报告
- 苹果手机微信聊天记录删除了怎么恢复?
- 专访 HackerOne COO 王宁:尊重规则是漏洞平台成功的秘诀,欢迎更多成人网站进驻 | 宅客
- Win10搜索没有结果
- Edge浏览器总是出现选择以设置Adobe flash
- 王者荣耀中如何赠送好友英雄?
- 加密解密那些事之SSL(https)中的对称加密与非对称加密
- Getright 5 手动脱壳和重建IAT--第一部分(图)
- 内存不能为read修复方法 解决内存不能为read
- 软件安装过程出现错误,无法修改系统设置
- 技嘉遭勒索软件攻击 黑客威胁称不支付赎金就公开112GB内部数据
- 解决Win10专业版系统更新后网络变慢的问题
- 齐向东:数字经济开采“数据富矿”要安全第一、守住红线
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 3深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 4电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
常用系统
- 1新萝卜家园电脑城专用系统 Windows10 x86 企业版2020年1月(32位) ISO镜像高速下载
- 2雨林木风系统 Ghost XP SP3 新春特别 装机版 YN2021年2月 ISO镜像高速下载
- 3笔记本系统Ghost Win8.1 (X64) 全新纯净版2019年11月(永久激活) 提供下载
- 4笔记本&台式机专用系统 Windows10 喜迎国庆 企业版 版本1903 2021年10月(64位) 提供下载
- 5深度技术Ghost Win8.1 x32位 特别纯净版2022年1月(免激活) ISO镜像高速下载
- 6番茄花园GhostWin7 SP1电脑城六一节 极速装机版2020年6月(32位) 最新高速下载
- 7番茄花园Ghost Win7 x64 SP1稳定装机版2020年11月(64位) 高速下载
- 8新萝卜家园电脑城专用系统 Windows10 x86 企业版2020年2月(32位) ISO镜像高速下载
- 9番茄花园GhostWin7 SP1电脑城极速装机版2019年10月(32位) 最新高速下载
- 10深度技术 Ghost Win7 x64 Sp1 电脑城纯净版2019年6月(64位) ISO镜像高速下载