51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

安装量超过1亿的40款应用程序被发现泄漏AWS密钥

作者:gejigeji
安全 应用安全
AWS密钥泄漏已在一些主要应用程序中被发现,例如Adobe Photoshop Fix,Adobe Comp,Hootsuite,IBM的Weather Channel以及在线购物服务Club Factory和Wholee。这些结果是对提交给CloudSEK的移动应用安全搜索引擎BeVigil的1万多个应用程序进行分析后得出的。

[[397596]]

大多数手机应用用户倾向于盲目地相信他们从应用商店下载的应用是安全的,但实际情况并非总是如此。

为了大规模介绍这些漏洞并方便用户进行识别,网络安全和机器智能公司CloudSEK最近提供了一个名为BeVigil的平台,用户可以在安装应用程序之前搜索和检查应用程序的安全评级和其他安全问题。

与The Hacker News共享的最新报告详细说明了BeVigil搜索引擎是如何识别40多个应用程序(累计下载量超过1亿次),这些应用程序中嵌入了硬编码的Amazon Web Services(AWS)专用密钥,从而将其内部网络和用户数据面临网络攻击的风险。

BeVigil发现流行的应用程序泄漏了AWS密钥

AWS密钥泄漏已在一些主要应用程序中被发现,例如Adobe Photoshop Fix,Adobe Comp,Hootsuite,IBM的Weather Channel以及在线购物服务Club Factory和Wholee。这些结果是对提交给CloudSEK的移动应用安全搜索引擎BeVigil的1万多个应用程序进行分析后得出的。

CloudSEK研究人员表示:

  • 在移动应用程序源代码中硬编码的AWS密钥可能是一个巨大的漏洞,特别是如果(身份和访问管理)角色具有广泛的范围和权限。误用的可能性非常大且攻击的危害性非常大,因为攻击可以链接,攻击者可以进一步访问整个基础设施,甚至代码库和配置。

CloudSEK表示,它负责任地向AWS和受影响的公司独立披露了这些安全问题。

安装量超过1亿的40款应用程序被发现泄漏AWS密钥

在总部位于班加罗尔的网络安全公司分析的应用程序中,公开的AWS密钥可以访问多个AWS服务,包括S3存储服务的凭据,这反过来又可以访问88个存储桶,其中包含10073444个文件和数据,总计5.5 tb。

存储桶中还包括源代码、应用程序备份、用户报告、测试工件、配置和凭据文件,这些文件可以用来深入访问应用程序的基础设施,包括用户数据库。

安装量超过1亿的40款应用程序被发现泄漏AWS密钥

从互联网访问的错误配置AWS实例是最近许多数据泄漏的原因。2019年10月,网络安全公司Imperva披漏,在2017年开始的一次客户数据库云迁移失败后,其云防火墙产品的一部分用户的信息可以在网上访问。

上个月, 印度股票交易平台 Upstox 发布公告称遭受黑客攻击,发生了严重的数据泄露事件,数百万客户的个人信息可能已经被窃取。泄漏数据包括:客户的姓名,联系信息,出生日期,银行帐户信息以及数百万个KYC(Know Your Customer)详细信息,Upstox 认为这些信息是 ShinyHunters 黑客团伙在访问公司的 Amazon AWS 密钥后盗用的。经分析,是Upstox配置了错误的AWS S3存储桶。对 KYC 数据的泄露尤其严重,因为它可能包含身份证,护照,带照片的身份证件以及其他文件的扫描件,这些文件可以证明个人的住所,例如水电费账单。此类信息可帮助金融组织确定客户的真实身份,并打击洗钱和资助恐怖主义行为,但如果这些信息落入不法份子之手,则可能被身份盗用者和骗子滥用。

Bevigil首席技术官Shahrukh Ahmad说:

  • 硬编码API密钥就像给你的房子加了锁,但将密钥留在标有'请勿打开'的信封中。这些密钥很容易被恶意黑客或竞争对手发现,他们可以使用它们来破坏其数据和网络。

什么是BeVigil,它是如何工作的?

BeVigil是一个移动安全搜索引擎,它允许研究人员搜索应用的元数据,审查他们的代码,查看安全报告和风险评分,甚至扫描新的APK。

安装量超过1亿的40款应用程序被发现泄漏AWS密钥

移动应用程序已成为许多最近的供应链攻击的目标,攻击者将恶意代码注入到应用程序开发人员使用的SDK中。安全团队可以依靠BeVigil来识别使用恶意SDK的任何恶意应用。通过使用元数据搜索,安全研究人员可以对网络上的各种应用程序进行深入调查。BeVigil生成的扫描报告可供整个CloudSEK社区使用。总之,对于消费者和安全研究人员来说,它有点像VirusTotal。

你可以在BeVigil中寻找什么?

你可以在数以百万计的应用程序中搜索易受攻击的代码片段或关键字,以了解哪些应用程序包含这些代码。这样,研究人员可以轻松分析质量数据,关联威胁并处理误报。

安装量超过1亿的40款应用程序被发现泄漏AWS密钥

除了通过简单地输入名称来搜索特定应用程序外,还可以找到整个应用程序列表:

  • 来自哪个开发组织;
  •  高于或低于一定的安全评分;例如,安全得分为7的信用应用程序;
  • 在特定时间段内发布(选择“开始”和“结束”日期),例如,确定2021年发布的信用应用;
  • 来自48个不同类别,例如金融、教育、工具、健康与健身等;
  • 通过搜索特定开发者的电子邮件地址;
  •  通过搜索在特定国家/地区开发的程序,例如,识别来自德国的银行应用;
  • 通过搜索个人识别码或开发者电子邮件地址在特定位置开发的应用;
  • 在后台录制音频;
  •  在后台记录位置;
  • 可以访问摄像头设备;
  •  可以访问;设备上的特定权限;
  • 使用特定的目标SDK版本;
  •  除此之外,还可以使用正则表达式通过查找代码模式来查找具有安全漏洞的应用程序;

本文翻译自:https://thehackernews.com/2021/05/over-40-apps-with-more-than-100-million.html如若转载,请注明原文地址。

 

责任编辑:姜华 来源: 嘶吼网
应用程序泄漏AWS密钥
相关推荐
Mac应用程序被发现含有恶意软件
Intego公司的研究员警告说,一个新的恶意软件正在自由获取的屏幕保护程序中分布。称为OSXOpinionSpy的间谍软件可以扫描文件,记录用户活动和发送窃取数据到远程服务器。

2010-06-05 11:28:55

AWS 应用程序部署基础知识:安装NGINX
在这篇文章中,我们将设置NGINX并将其用作AWS云中的反向代理。

2021-06-24 14:45:33

AWS 应用程序NGINX
谷歌应用程序下载已超150亿
5月8日消息,据TechCrunch报道,英国《独立报》曾发表一篇简短的新闻,称谷歌应用程序下载量达到150亿次。对此谷歌发言人予以了证实,并表示是“几个星期前”迈过了这个里程碑。

2012-05-08 09:47:08

Google PlayAndroid应用程序
AWSWeb应用程序托管架构
高可用和可扩展的web应用是复杂而昂贵的。密集的高峰时段和流量模式的剧烈波动导致昂贵的硬件利用率低下。Amazon云服务为web应用提供高可靠的,可扩展的,安全的高性能基础设施,同时保证了弹性,根据客户的流量变化而实时调整规模进而降低了成本。

2015-02-02 15:46:59

Web应用架构大数据
到2026年,利用 AI AR 应用程序用户将超过亿
ABIResearch预计,到2026年,将有超过2亿活跃用户参与以某种形式利用人工智能(AI)的增强现实(AR)应用程序。

2021-11-18 14:39:57

人工智能AR技术
新型僵尸程序Trojan.Ferret被发现
研究人员发现一种名为Trojan.Ferret的僵尸程序。该僵尸程序最大的特点是具有强大的生存能力。Bot程序支持UPX打包,字符串混淆,虚拟机识别,反调试,自修改代码等(UPXpacking,stringobfuscation,antivirtualmachineandantidebuggingmeasures,selfmodifyingcodeandprocesshollowing)。

2013-12-23 10:35:01

Android办公应用程序对比
在移动设备界,“黑莓”曾被看作是“业务”的代名词。然而近期以来,基于谷歌Android操作系统的移动设备正变得越来越适用于日常工作。如果你的企业允许使用Android智能手机作为办公平台的话,下面这些软件的对比会对你有很大的帮助。

2011-03-18 13:30:18

Android办公
一部iPhone 40应用程序
调查显示,苹果iPhone的应用程序数远远超过其他竞争对手,平均每部手机上有40种。但Android和黑莓用户的应用程序使用率也开始稳步上升,分别达到了25种和14种,而在去年12月分别只有22种和10种。

2010-09-10 09:50:33

iPhone软件iPhone
40 个优秀开源安卓应用程序
最好的开源安卓应用程序。替换专有应用,享受更好的体验!

2023-06-12 17:59:48

10给力追踪时间应用程序
你是否曾经在做项目时时间不够?你是否不确定你花在每个项目上的时间?如果你对上述问题的回答是肯定的,那么你知道我说的时间问题。实际上,不了解时间都花在哪了,这是大多数自由职业者都遇到的问题。本文将为你推荐10款给力的追踪时间应用程序,让你的时间不再不知所踪。

2011-04-19 09:19:55

应用程序项目管理
36顶级开源音频/视频应用程序
本文介绍的这些音频视频应用程序有望大大节省用户的成本,它们可以取代价格昂贵的商用音频视频应用程序,在大多数情况下提供了大致相似的功能。

2016-04-19 11:50:58

开源音频视频
推荐 15 最好 Bug 跟踪应用程序
对某个项目来说,最重要的一件事情就是需要跟踪和梳理各种bug和问题,找到并解决问题,否则,项目就会花费超多的时间,导致整个项目的重心偏移。

2014-03-04 09:22:24

bug程序员
如何发现移动应用程序SSL泄密隐患?
安全套接层协议(SSL)是现代互联网上的一种根本性技术,让传输中数据能够进行加密、安全传输。不过据TonyTrummer和TusharDalvi这两位安全研究人员声称,许多大受欢迎的移动应用程序并没有合理地实施SSL。

2014-08-26 09:01:51

SSL移动应用程序
黑莓App World 应用总数超过70000
上个月初曾有消息报道称,加拿大手机厂商RIM(ResearchInMotion)的BlackBerryAppWorld应用商店已经拥有超过60000款应用程序,应用总下载量达到20亿次。不过如果今天再查看AppWorld的话,便会发现有一则“HappyBirthdayBlackBerryAppWorld”的广告,同时应用程序总数增长已经超过70000款。

2012-04-04 12:13:31

黑莓
10应用程序让Windows 10如虎添翼
多显示器环境很常见,但有时你需要更多:能够将几台机器视作一台,使用同一套鼠标键盘来控制它们。这让ShareMouse等应用程序有了用武之地,检测鼠标何时离开一台PC上的屏幕,将后续的鼠标键盘操作重定向到另一台PC。传统的多显示器环境只有一个CPU来处理这项工作,现在你可以控制另一台机器,以便在一台机器上回复邮件的同时,在另一台机器上渲染视频或编译代码。

2019-07-05 08:00:00

WindowsWindows 10程序
Android应用程序组件Activity"singleTask"(1)
在Android应用程序中,可以配置Activity以四种方式来启动,其中最令人迷惑的就是"singleTask"这种方式了,官方文档称以这种方式启动的Activity总是属于一个任务的根Activity。果真如此吗本文将为你解开Activity的"singleTask"之谜。

2014-05-27 14:09:52

AndroidActivitysingleTask
超3200个应用程序泄露了 Twitter API 密钥
网络安全公司CloudSEK首次发现了这一问题,该公司在检查大型应用程序集合是否存在数据泄漏时,发现了大量应用程序泄露了TwitterAPI密钥。

2022-08-02 16:33:54

网络安全密钥数据泄漏
Linux应用程序将支持18Chromebook
Google即将发布基于Linux的ChromeOS操作系统,计划将很快将对Linux应用程序的支持扩展到大量的Chromebook。

2018-10-12 10:51:15

LinuxChromebook应用程序
6 面向 Linux 用户开源绘图应用程序
既然你是一名Linux用户,为什么不关注一下开源绘图应用程序呢?AnkushDas(作者)小时候,当我开始使用计算机(在WindowsXP中)时,我最喜欢的应用程序是微软的“画图”。我能在它上面涂鸦数个小时。

2019-11-11 15:24:04

Linux软件微软
6 免费高品质 Linux CAD 应用程序
CAD世界一直占主导地位的是非常强大的AutoCAD软件。不幸的是,Unix系统的支持早在1994年就停止了,它的作者Autodesk,目前也没有计划把它推向Linux。在此我们编制了一份名单,6款高品质的免费LinuxCAD应用程序。

2009-06-11 14:45:50

Linux免费CAD
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服