AWS アクセス・トークンなどをハードコード:1,800 種類の Android/iOS アプリ

Over 1,800 Android and iOS Apps Found Leaking Hard-Coded AWS Credentials

2022/09/01 TheHackerNews — 研究者たちが提起した深刻なセキュリティ・リスクとは、Amazon Web Services (AWS) 認証情報などをハードコードしている、1,859 種類の Android/iOS アプリが特定されたというものだ。Broadcom Software 傘下 Symantec の Threat Hunter チームは、The Hacker News と共有したレポートの中で、「それらのアプリの 77% に、AWS プライベート・クラウド・サービスにアクセスできる、有効な AWS アクセス・トークンが含まれていた」と述べている。

興味深いことに、それらのアプリで見つかったアクセス・トークンの 50% 強が、他の開発者や企業が管理する他のアプリと共通の、AWS トークンを使用していることが判明し、サプライチェーンの脆弱性が示されるとこになった。


研究者たちは、「AWS のアクセス・トークンは、アプリの開発に使用された共有ライブラリ/サードパーティSDK/共有コンポーネントで辿ることができた」と述べている。

一般的に、これらの認証情報は、アプリの機能に必要かつ適切なリソースのダウンロードや、設定ファイルへのアクセス、他のクラウドサービスとの認証などに使用される。

さらに悪いことに、確認されたアプリの 47% には、クラウド上の全てのプライベート・ファイルと、Amazon S3 バケットに完全にアクセスできる、有効な AWS トークンが含まれていた。そこには、インフラのファイルや、データのバックアップなどが含まれる。

Symantec が発見した事例では、イントラネットとコミュニケーションのプラットフォームを提供する無名の B2B 企業が、モバイル・ソフトウェア SDK も顧客に提供しておた。そして、翻訳サービスにアクセスするための SDK に、クラウド・インフラのキーが埋め込まれていたことが判明したという。その結果として、15,000社以上の中小企業の財務情報と、顧客の個人情報が、すべて流出する事態に陥ったという。

研究者たちは、「翻訳クラウド・サービスで使用するために、ハードコードされたアクセス・トークンを制限する代わりに、そのトークンを持つ誰もが、この B2B 企業の全ての AWS クラウド・サービスに自由にアクセスできた」と指摘している。

また、クラウド認証情報を含む AI Digital Identity SDK に関連する、5種類の iOS バンキング・アプリも発覚し、事実上 30万人以上のユーザーの指紋情報が流出した。

Symantec は、アプリで発見された問題について、各組織に警告を発したと述べている。

CloudSEK の研究者たちによると、3,207種類のモバイル・アプリが、Twitter API キーを平然と公開しており、その一部が関連する Twitter アカウントへの、不正アクセスに利用される可能性があることを明らかにしたが、そのことが、今回の進展につながった。

2022年6月14日の「Travis-CI API からの OAuth トークン流出:GitHub や AWS S3 に影響が生じた理由が判明」や、6月24日の「AWS の機密情報を漏洩させる、迷惑なバックドアつき Python ライブラリ」にあるように、このところ AWS のアクセス・トークンに関する問題が続いて。どれも、開発時における不注意や、不正なライブラリの使用などに起因するものです。2022年も、すでに半分が過ぎましたが、こうした、開発に関連するサプライチェーンの問題が吹き出てきた年だと思えます。よろしければ、Repository で検索も、ご利用ください。

%d bloggers like this: