Milioni korisnika iOS-a i Androida su u opasnosti nakon što je Symantec otkrio da popularne aplikacije za obe platforme sadrže hardkodovane, nešifrovane ključeve u oblaku.
Ova bezbednosna greška može dovesti do neovlašćenog pristupa, kompromitovanja podataka i prekida servisa.
Istraživanje koje su sproveli stručnjaci za sajber bezbednost u kompaniji Symantec otkrilo je da popularne aplikacije na Android i iOS platformama sadrže hardkodovane, nešifrovane kredencijale za usluge u oblaku, što dovodi milione osetljivih podataka korisnika u rizik od neovlašćenog pristupa i kompromitovanja podataka.
Problem dolazi od programera koji ugrađuju pristupne i tajne ključeve direktno u kod aplikacije umesto da koriste bezbedne metode skladištenja. Ovo napadačima olakšava pristup osetljivim podacima, krađu korisničkih informacija ili ometanje usluge.
Među pogođenim Android aplikacijama su Pic Stitch: Collage Maker, sa više od 5 miliona preuzimanja, i Meru Cabs, Sulekha Business i ReSound Tinnitus Relief, svaka sa stotinama hiljada preuzimanja, koje sadrže hardkodovane AWS i Azure kredencijale.
Na iOS, popularne aplikacije kao što su Crumbl (sa više od 3,9 miliona ocena), Eureka: Earn Money for Surveys (402.000 ocena) i Videoshop – Video Editor (357.000 ocena) takođe imaju hardkodovane AWS kredencijale.
Da bi ublažili ove rizike, programerima se savetuje da slede najbolje prakse za upravljanje osetljivim podacima u svojim aplikacijama.
„Ovaj ponovljeni obrazac nesigurnog upravljanja kredencijalima u više aplikacija naglašava kritičnu potrebu da programeri daju prioritet bezbednosti u razvoju mobilnih aplikacija“, rekao je portparol Symanteca.
Symantec savetuje korisnicima da instaliraju renomirani bezbednosni softver, da preuzimaju aplikacije samo iz pouzdanih izvora, da ažuriraju softver, pažljivo pregledaju dozvole za aplikacije i redovno prave rezervne kopije važnih podataka. Ove mere predostrožnosti mogu pomoći da se ublaže rizici povezani sa nesigurnim aplikacijama dok programeri rade na rešavanju ovih kritičnih ranjivosti.
