他のものと同じように モバイル アプリは、意図的に悪意を持った不正なプログラムから、あいまいではあるが重大な欠陥を含むアプリまで、さまざまなセキュリティ上の問題と露出を引き起こす可能性があります。 現在、新しい研究により、モバイル アプリのクラウド インフラストラクチャにおける体系的な見落としが明らかになりつつあります。これらの見落としはあまりにも一般的であり、ユーザーのデータが漏洩してはならない場所や侵害されてはならない場所で漏洩するリスクを生み出しています。
Broadcom の Symantec Threat Hunter チームの研究者は、何百もの主流アプリの基盤となるクラウド サービスに潜んでいる、ハードコードされた認証資格情報の蔓延に関する調査結果を木曜日に公開しました。 これらのログイン資格情報は、多くの場合、アプリが単一のファイルまたはサービスにアクセスできるようにすることを目的としています。たとえば、アプリが企業の Web サイトから公開されている画像を表示したり、ユーザーの要求に応じて翻訳サービスを通じてテキストを実行したりするためのメカニズムです。 しかし、実際には、これらの同じ資格情報が、企業データ、データベース バックアップ、システム制御コンポーネントなど、クラウド サービスに保存されているすべてのファイルへのアクセスを許可することが多いことを研究者は発見しました。 また、同じサードパーティの開発会社によって複数のアプリが作成されているか、公開されている同じソフトウェア開発キット (SDK) が組み込まれている場合、これらの静的認証トークンは、接続されていない複数のアプリのインフラストラクチャとユーザー データへのアクセスを許可することさえあります。
これらすべてが意味することは、攻撃者がこれらのアクセス トークンを発見した場合、1 つのドアマットの下で 1 つのキーを見つけることによって、機密データの膨大で異種の山をすべてロック解除できる可能性があることを意味します。
「クラウドはまだ一種の新しいフロンティアです。 また、実際に使用されている慣行について耳にするとき、多くの組織が他の面でセキュリティを確保できていない可能性があることに気付くことがあります」と Symantec の Dick O’Brien 氏は言います。 「それが手抜きをしている人によるものなのか、それとも資格情報を公開することによって公開されているものを単に無視しているだけなのかを判断するのは困難ですが、データが本来あるべき方法に近い場所でリングフェンスされていないことは明らかです. “
研究者は、ハードコーディングされたアマゾン ウェブ サービスの認証情報を含む、Android と iOS の両方で公開されている 1,859 個のアプリを発見しました。 大部分は iOS アプリであり、シマンテックは何年にもわたって追跡してきたが、完全には説明していないと述べている。 アプリの 4 分の 3 以上に存在する資格情報は、プライベート クラウド サービスへのアクセスを許可し、それらのほぼ半分はさらにプライベート ファイルへのアクセスを許可しました。 アプリの 53% には、他の (多くの場合、まったく関係のない) アプリでも見つかったアクセス トークンが含まれていました。
「最初は非常に驚きましたが、これは組織的なものです」とオブライエンは言います。 「人々は自分が使っているものを完全に監査し、そこに複数のレイヤーがあることに気付く必要があります。 ハード コーディングされたアクセス キーを実装する方法はあまりよくありません。 短期間で有効期限が切れる一時的な資格情報はおそらく有効な方法であり、情報をサイロ化する必要があるという意識を高める必要があります。」
Symantec は、アプリの開発者に最も差し迫った問題が見られる場所を通知したと述べており、安全でない開発慣行と共有リソースが、慎重な検討とセグメンテーションなしに危険にさらされる可能性があることについての認識を高めたいと考えています.
あるケースでは、研究者は、いくつかの主流の iOS バンキング アプリがすべて、共有サービスのクラウド資格情報を公開する同じサードパーティの AI デジタル ID ソフトウェア開発キットを使用していることに気付きました。 バンキング アプリ自体が SDK を作成したわけではありませんが、資格情報により、サーバー構造とインフラストラクチャの設計図、ソース コード、ID サービスの基盤となる AI モデルが公開されました。 また、5 つのモバイル バンキング アプリのユーザーからの 300,000 を超える生体認証指紋ファイルが漏洩し、公開された可能性があります。
別のケースでは、研究者は、スポーツ賭博アプリでテクノロジー企業と協力している大規模なホスピタリティおよびエンターテイメント企業と呼ばれるものに気付きました. 合計で、ハードコードされた資格情報により、インフラストラクチャは 16 のオンライン ギャンブル アプリにアクセスできるようになり、クラウド サービスが公開され、このバックエンド プラットフォームを制御するためのルート アクセス権さえ付与されました。
Symantec の O’Brien 氏は、同社は影響を受けるアプリの名前を挙げていないが、調査結果がこれらの一般的な落とし穴とユーザーへの潜在的な大きな影響についての認識を高めることを望んでいると強調している. 「私たちが見つけたものは、ここで扱っていることの重要性を示しています」と彼は言います。