Symantec ist bei der Untersuchung populärer Apps auf hartkodierte und unverschlüsselte Zugangsdaten zu Cloud-Diensten in der Codebasis gestoßen. Dadurch könne jeder mit Zugriff auf die App-Binary oder die Quellen dazu diese Zugangsdaten extrahieren und sie missbrauchen, um Daten zu manipulieren oder exfiltrieren. Das führe zu ernst zu nehmenden Sicherheitsverstößen.
Anzeige
In einem Blog-Beitrag analysieren Symantecs IT-Forscher mehrere beispielhafte Apps. Dabei konzentrieren sie sich auf solche, die hartkodierte Zugangsdaten zu Amazon Web Services (AWS) und Microsoft Azure Blob Storage enthalten.
Die Android-App "Pic Stitch: Collage Maker" kommt auf mehr als fünf Millionen Installationen im Play Store und enthält Zugangsdaten zu AWS. Zudem findet sich das Problem auch in drei populären iOS-Apps, etwa "Crumbl", "Eureka: Earn Money for Surveys" und "Videoshop - Video Editor". "Crumbl" hat im Apple-Store knapp vier Millionen Bewertungen erhalten und steht auf Platz fünf der Kategorie "Essen und Trinken". Die darin gespeicherten Klartext-Zugangsdaten lassen sich zur Konfiguration von AWS-Diensten nutzen, was Missbrauch Tür und Tor öffne. Die verwendete URL als API-Endpunkt zu IoT-Diensten in AWS erleichtere Angriffe wie das Abfangen und Manipulieren von Kommunikation und schließlich unautorisierten Zugriff zu den damit verbundenen AWS-Ressourcen, erörtern Symantecs Mitarbeiter. Die "Eureka"-App hat immerhin mehr als 400.000 Bewertungen vorzuweisen, die "Videoshop"-App hingegen mehr als 350.000.
Aber auch Zugangsdaten zu Azure-Cloud-Diensten finden sich in Apps. Etwa die Android-App "Meru Cabs" wurde mehr als fünf Millionen Mal aus dem Google Play Store heruntergeladen. Die darin eingebetteten Verbindungs-Zeichenketten und Zugangsschlüssel würden kritischen Cloud-Speicherplatz offenlegen und potenziellem Missbrauch aussetzen. Am Ende der Meldung hat Symantec eine Tabelle mit App-Namen, deren Download-Anzahl respektive Bewertungsanzahl und zu welchem Cloud-System Zugangsdaten enthalten sind, gesammelt.