Tổ chức an ninh mạng Symantec đã đưa ra cảnh báo về việc thông tin cá nhân của hàng triệu người đang bị truy cập dễ dàng thông qua các ứng dụng, chủ yếu trên nền iOS.
Vấn đề phát sinh từ việc tái sử dụng các mã thông báo hợp lệ của Amazon Web Services (AWS). Điều này sẽ cấp quyền truy cập vào một số lượng lớn thông tin.
Việc tái sử dụng mã thông báo Amazon Web Services, dù được mã hóa cứng, đã được xác định là một lỗ hổng bảo mật nghiêm trọng trong 1859 ứng dụng, 98% trong số đó thuộc nền tảng iOS. Trên thực tế, Symantec phát hiện ra việc tái sử dụng các thông tin đăng nhập AWS giống nhau xuất hiện trong tới 53% ứng dụng được kiểm tra, khiến tầm nguy hiểm bảo mật của các dữ liệu tăng lên gấp nhiều lần. Theo Symantec, vấn đề bắt nguồn từ chuỗi cung ứng, đặc biệt là khi phát triển ứng dụng bằng bộ công cụ phát triển phần mềm (SDK).
Rủi ro bảo mật dữ liệu từ các ứng dụng Android và iOS
Theo công ty, AWS có thể hạn chế lỗ hổng bảo mật nếu mã chỉ cho phép truy cập vào một tệp duy nhất có trong Amazon Simple Storage Service (S3). Tuy nhiên, AWS đã không làm như vậy. Ví dụ, SDK của một công ty B2B có thể cung cấp cho khách hàng quyền truy cập vào tất cả các khóa cơ sở hạ tầng đám mây của công ty ngoài nền tảng của nó. Có hơn 15000 doanh nghiệp lớn và vừa nằm trong danh sách này. Và Symantec khẳng định rằng thông tin về cả khách hàng và nhân viên, cũng như hồ sơ tài chính, có thể bị rò rỉ ngẫu nhiên.
Theo Symantec: “Để truy cập dịch vụ dịch thuật AWS, doanh nghiệp đã mã hóa cứng mã thông báo truy cập AWS. Tuy nhiên, bất kỳ ai có mã thông báo truy cập này đều có quyền truy cập không hạn chế vào tất cả các dịch vụ đám mây AWS của doanh nghiệp B2B thay vì chỉ dịch vụ đám mây dịch thuật.
Việc tái sử dụng các mã thông báo này cấp quyền truy cập toàn phần vào dữ liệu trên các ứng dụng khác nhau, làm tăng đáng kể nguy cơ rò rỉ, ngay cả khi xuất phát từ sự vô tình từ các nhà phát triển. Theo điều tra của Symantec, 47% ứng dụng được kiểm tra có chứa mã thông báo AWS, điều này không chỉ cấp quyền truy cập vào các tệp cần thiết để mã hóa, chẳng hạn như các tệp trong khu vực đám mây riêng, mà còn là hàng triệu tệp được lưu giữ bởi Amazon (S3).
Vấn đề phát sinh từ việc tái sử dụng các mã thông báo hợp lệ của Amazon Web Services (AWS). Điều này sẽ cấp quyền truy cập vào một số lượng lớn thông tin.
Việc tái sử dụng mã thông báo Amazon Web Services, dù được mã hóa cứng, đã được xác định là một lỗ hổng bảo mật nghiêm trọng trong 1859 ứng dụng, 98% trong số đó thuộc nền tảng iOS. Trên thực tế, Symantec phát hiện ra việc tái sử dụng các thông tin đăng nhập AWS giống nhau xuất hiện trong tới 53% ứng dụng được kiểm tra, khiến tầm nguy hiểm bảo mật của các dữ liệu tăng lên gấp nhiều lần. Theo Symantec, vấn đề bắt nguồn từ chuỗi cung ứng, đặc biệt là khi phát triển ứng dụng bằng bộ công cụ phát triển phần mềm (SDK).
Rủi ro bảo mật dữ liệu từ các ứng dụng Android và iOS
Theo công ty, AWS có thể hạn chế lỗ hổng bảo mật nếu mã chỉ cho phép truy cập vào một tệp duy nhất có trong Amazon Simple Storage Service (S3). Tuy nhiên, AWS đã không làm như vậy. Ví dụ, SDK của một công ty B2B có thể cung cấp cho khách hàng quyền truy cập vào tất cả các khóa cơ sở hạ tầng đám mây của công ty ngoài nền tảng của nó. Có hơn 15000 doanh nghiệp lớn và vừa nằm trong danh sách này. Và Symantec khẳng định rằng thông tin về cả khách hàng và nhân viên, cũng như hồ sơ tài chính, có thể bị rò rỉ ngẫu nhiên.
Theo Symantec: “Để truy cập dịch vụ dịch thuật AWS, doanh nghiệp đã mã hóa cứng mã thông báo truy cập AWS. Tuy nhiên, bất kỳ ai có mã thông báo truy cập này đều có quyền truy cập không hạn chế vào tất cả các dịch vụ đám mây AWS của doanh nghiệp B2B thay vì chỉ dịch vụ đám mây dịch thuật.
Việc tái sử dụng các mã thông báo này cấp quyền truy cập toàn phần vào dữ liệu trên các ứng dụng khác nhau, làm tăng đáng kể nguy cơ rò rỉ, ngay cả khi xuất phát từ sự vô tình từ các nhà phát triển. Theo điều tra của Symantec, 47% ứng dụng được kiểm tra có chứa mã thông báo AWS, điều này không chỉ cấp quyền truy cập vào các tệp cần thiết để mã hóa, chẳng hạn như các tệp trong khu vực đám mây riêng, mà còn là hàng triệu tệp được lưu giữ bởi Amazon (S3).
Theo Nghe Nhìn
