Bei der Untersuchung beliebter Apps entdeckte Symantec fest codierte und unverschlüsselte Cloud-Service-Anmeldeinformationen in der Codebasis. Dies ermöglicht es jedem, der Zugriff auf die App-Binärdatei oder ihre Quellen hat, diese Anmeldeinformationen zu extrahieren und sie zur Manipulation oder Exfiltration von Daten zu missbrauchen. Dies führt zu schwerwiegenden Sicherheitsverletzungen.
Werbung
In einem Blogbeitrag analysieren die IT-Forscher von Symantec mehrere beispielhafte Apps. Sie konzentrieren sich auf solche, die fest codierte Zugangsdaten zu Amazon Web Services (AWS) und Microsoft Azure Blob Storage enthalten.
Hartcodierte Anmeldeinformationen in iOS- und Android-Apps
Die Android-App „Pic Stitch: Collage Maker“ hat mehr als fünf Millionen Installationen im Play Store und beinhaltet AWS-Zugangsdaten. Das Problem findet sich auch in drei beliebten iOS-Apps, etwa „Crumbl“, „Eureka: Earn Money for Surveys“ und „Videoshop – Video Editor“. „Crumbl“ hat im Apple Store fast vier Millionen Rezensionen erhalten und liegt in der Kategorie „Essen und Trinken“ auf Platz fünf. Die darin gespeicherten Klartext-Zugangsdaten können zur Konfiguration von AWS-Diensten verwendet werden, was dem Missbrauch Tür und Tor öffnet. Die als API-Endpunkt zu IoT-Diensten in AWS verwendete URL erleichtert Angriffe wie das Abfangen und Manipulieren von Kommunikation und letztendlich den unbefugten Zugriff auf die zugehörigen AWS-Ressourcen, diskutieren Symantec-Mitarbeiter. Die App „Eureka“ hat mehr als 400.000 Bewertungen, die App „Videoshop“ mehr als 350.000.
Aber auch Zugangsdaten zu Azure-Cloud-Diensten finden sich in Apps. Die Android-App „Meru Cabs“ wurde mehr als fünf Millionen Mal im Google Play Store heruntergeladen. Die eingebetteten Verbindungszeichenfolgen und Zugriffsschlüssel würden kritischen Cloud-Speicherplatz potenziellem Missbrauch aussetzen. Am Ende des Berichts hat Symantec eine Tabelle mit App-Namen, der Anzahl der Downloads oder Bewertungen und dem darin enthaltenen Cloud-System mit Zugriffsdaten zusammengestellt.
Symantec gibt außerdem Tipps, wie Entwickler das Risiko der Offenlegung sensibler Daten verringern können. Dazu gehört beispielsweise die Verwendung von Umgebungsvariablen für Zugangsdaten, die zur Laufzeit geladen werden, anstatt sie fest in den Code einzubauen. Empfehlenswert ist der Einsatz sogenannter Secrets-Management-Tools, wie zum Beispiel AWS Secrets Manager oder Azure Key Vault. Sensible Daten sollten mit starker Verschlüsselung gespeichert werden, wenn Zugangsdaten in der App gespeichert und erst zur Laufzeit bei Bedarf entschlüsselt werden müssen.
Dass es sich hierbei nicht nur um theoretische Gefahren handelt, zeigte die Warnung des Identitäts- und Zugriffsmanagement-Dienstleisters Okta vor verstärkten Angriffen auf Anmeldedaten Ende April dieses Jahres. Angreifer versuchten, sich mit geknackten Daten Zugang zu den Diensten zu verschaffen.
(dmk)