数百个iOS应用程序可能正在泄露AWS凭证

数百个移动应用程序被发现泄露了AmazonWebServices(AWS)凭证。最近的赛门铁克分析(在新标签中打开)确定了1,859个公开可用的应用程序，其中98%是iOS应用程序，其中包含可能使您的数据面临风险的硬编码AWS凭证。

该公司发现超过四分之三(77%)的应用程序包含有效的AWS访问令牌，允许访问私有AWS云服务，近一半(47%)的应用程序包含有效的AWS令牌，这些令牌还可以完全访问大量(通常是数百万)的私有文件通过AmazonSimpleStorageService(AmazonS3)。

安全研究员KevinWatkins表示，漏洞的一些原因包括不为人知地使用易受攻击的外部软件库和SDK、应用程序开发的外包以及跨团队协作，这可能会为丢失信息和无效沟通带来大量机会。

该分析重点介绍了受影响公司的三个真实示例。第一个是一家提供内部网和通信平台的未命名B2B公司，它向其客户提供了一个移动SDK，该SDK暴露了公司的云基础设施密钥，暴露了财务记录和私人数据等内容。

第二个示例引用了一些iOS银行应用程序，这些应用程序已将其各自应用程序的数字ID和身份验证组件外包。此SDK的受影响用户的个人数据被暴露，包括姓名和出生日期。此外，五个银行应用程序泄露了超过300,000个生物识别数字指纹。

最后，一家与另一家公司合作共享其技术平台的酒店和娱乐公司被发现暴露了一个被16个不同应用程序使用的库中的业务和客户数据。

研究结果已与相关公司分享，但尚不清楚这些问题是否已立即解决。

标签：