O problema surgiria especificamente da reutilização de tokens válidos da Amazon Web Services (AWS). O que daria acesso a um grande número de informações.
Os alarmes estão a ser levantados pela Symantec, uma organização de cibersegurança, sobre a facilidade com que milhões de informações privadas de pessoas podem ser acedidas através de várias apps, a maioria das que executam o iOS.
O problema surgiria especificamente da reutilização de tokens válidos da Amazon Web Services (AWS). O que daria acesso a um grande número de informações.
A reutilização de tokens da Amazon Web Services foi identificada como uma vulnerabilidade de segurança severa em 1.859 aplicações, das quais 98% são baseadas em iOS. De facto, descobrimos a reutilização das mesmas credenciais AWS em 53% das aplicações testadas pela Symantec. Aumentando dez vezes o perigo destes dados. Para a Symantec, o problema decorre da cadeia de fornecimento, nomeadamente quando se desenvolvem aplicações que utilizam kits de desenvolvimento de software (SDKs).
De acordo com a empresa, a vulnerabilidade é limitada se o código AWS apenas permitir o acesso a um único ficheiro presente no Serviço de Armazenamento Simples da Amazon (S3), no entanto não é o caso neste caso. Um dos casos é o SDK de uma empresa B2B. O que dá aos clientes acesso a todas as chaves de infraestrutura em nuvem da empresa, além da sua plataforma. Há mais de 15.000 grandes e médias empresas listadas lá. E a Symantec alega que a informação sobre clientes e funcionários, bem como registos financeiros, pode acidentalmente ser um subjacto de fugas.
De acordo com a Symantec, “para aceder ao serviço de tradução AWS, a empresa tem codificado duramente o token de acesso AWS. Qualquer pessoa com o token de acesso codificado, no entanto, tinha acesso completo e sem restrições a todos os serviços de cloud da empresa B2B em vez de apenas o serviço de nuvem de tradução.
A reutilização destes tokens, que concedem acesso total aos dados sobre diferentes aplicações, aumenta drasticamente o perigo de fugas. Mesmo que possa ser inadvertidamente do lado dos desenvolvedores. De acordo com a investigação da Symantec, 47% das aplicações avaliadas incluem tokens AWS. Que não só concedem acesso aos ficheiros necessários para codificação, como os de uma área de nuvem privada. Mas também aos milhões de ficheiros mantidos pela Amazon (S3).
Todos os dias vos trazemos dezenas de notícias sobre o mundo Android em Português. Sigam-nos no Google Notícias. Cliquem aqui e depois em Seguir. Obrigado! |
Formado em Informática / Multimédia trabalho há 10 anos em Logística no Ramo Automóvel. Tenho uma paixão pelas Novas Tecnologias , cresci com computadores e tecnologias sempre presentes, assisti à evolução até hoje e continuo a absorver o máximo de informação sou um Tech Junkie. Viciado em Smartphones e claro no AndroidGeek.pt