Un equipo de investigadores de Symantec ha detectado 1.859 apps en iOS y Android que contienen tokens de acceso a Amazon Web Services (AWS).

Este problema de seguridad puede conllevar que usuarios maliciosos puedan utilizar estos tokens para acceder a servicios privados en la nube de Amazon. En consecuencia, esta brecha de seguridad podría haber expuesto los datos privados de usuarios y empresas.

De todas las aplicaciones analizadas por el grupo de investigadores Symantec Threat Hunter, disponían de estas credenciales de acceso embebidas directamente en el código. Además, alrededor de la mitad usaba los mismos tokens de AWS que se encuentran en otras aplicaciones de otras compañías y desarrolladores.

Esto hace que «los tokens de acceso de AWS podrían rastrearse hasta una biblioteca compartida, un kit de desarrollo de software (SDK) de terceros u otro componente compartido utilizado en el desarrollo de las aplicaciones».

Esto ha llevado a catalogar estas vulnerabilidades como graves. Además, el 47% de las aplicaciones analizadas contenían tokens de AWS válidos que daban acceso completo a todos los archivos privados y depósitos de Amazon Simple Storage Service (S3) en la nube.

Esto supone que se dejan al descubierto archivos de infraestructura y copias de seguridad de datos, entre otros.

Recomendaciones de seguridad para estas apps

El equipo de investigadores también ha analizado el caso de una empresa proveedora de una plataforma de comunicaciones y un kit de desarrollo móvil y que tenía las claves de acceso embebidas en el código del SDK (kit de desarrollo de software).

Esto llevó a que los datos de todos sus clientes quedaron expuestos, incluidos los datos corporativos y registros financieros de más de 15.000 empresas.

En otro caso también se analizaron cinco aplicaciones de entidades bancarias para iOS y a través de las que se hicieron con datos biométricos de acceso de más de 300.000 clientes.

Ante este peligro, los investigadores de Symantec también han ofrecido una serie de recomendaciones para ayudar a las empresas a detectar este tipo de problemas.

Incorporar soluciones de escaneo de seguridad al ciclo de vida de desarrollo de la aplicación y, si se utiliza un proveedor externo, solicitar y revisar las calificaciones de la app móvil que pueden identificar cualquier comportamiento no deseado. Asimismo, esto también permite detectar si hay alguna vulnerabilidad en la aplicación para versión de una app móvil.

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre