توجد مفاتيح AWS وAzure في تطبيقات Android وiOS التي يستخدمها الملايين

تأتي العديد من تطبيقات الهاتف المحمول الشهيرة لنظامي التشغيل iOS وAndroid مزودة ببيانات اعتماد مشفرة وغير مشفرة للخدمات السحابية مثل Amazon Web Services (AWS) وMicrosoft Azure Blob Storage، مما يعرض بيانات المستخدم والتعليمات البرمجية المصدر لانتهاكات الأمان.

يمكن أن يؤدي الكشف عن هذا النوع من بيانات الاعتماد بسهولة إلى الوصول غير المصرح به إلى مجموعات التخزين وقواعد البيانات التي تحتوي على بيانات المستخدم الحساسة. وبصرف النظر عن هذا، يمكن للمهاجم استخدامها للتلاعب بالبيانات أو سرقتها.

وفقًا لتقرير صادر عن شركة Symantec، إحدى شركات Broadcom، فإن هذه المفاتيح موجودة في قواعد التعليمات البرمجية للتطبيقات بسبب الأخطاء والممارسات السيئة أثناء مرحلة التطوير.

“Recent analysis has uncovered a troubling trend: several widely-used apps have been found to contain hardcoded and unencrypted cloud service credentials within their codebases,” توضح سيمانتيك.

“This dangerous practice means that anyone with access to the app’s binary or source code could potentially extract these credentials and misuse them to manipulate or exfiltrate data, leading to severe security breaches,” يقول الباحثون.

تقول شركة Symantec أن باحثيها عثروا على بيانات اعتماد للخدمات السحابية في التطبيقات التالية على Google Play:

1. غرزة الموافقة المسبقة عن علم – أكثر من 5 مليون عملية تنزيل – بيانات اعتماد أمازون المشفرة
2. ميرو سيارات الأجرة – أكثر من 5 مليون تنزيل – بيانات اعتماد Microsoft Azure Blob Storage الثابتة
3. أعمال سليخاs – أكثر من 500 ألف تنزيل – بيانات اعتماد Microsoft Azure Blob Storage الثابتة
4. ReSound تخفيف طنين الأذن – أكثر من 500 ألف تنزيل – بيانات اعتماد Microsoft Azure Blob Storage الثابتة
5. سالودسا – أكثر من 100 ألف تنزيل – بيانات اعتماد Microsoft Azure Blob Storage الثابتة
6. تشولا السيدة اقتحام – أكثر من 100 ألف تنزيل – بيانات اعتماد Microsoft Azure Blob Storage الثابتة
7. نظام تحديد المواقع العالمي للدراجات النارية EatSleepRIDE – أكثر من 100 ألف تنزيل – بيانات اعتماد Twilio المشفرة
8. طنين بلتون أهدأ – أكثر من 100 ألف تنزيل – بيانات اعتماد Microsoft Azure Blob Storage الثابتة

واكتشفوا أيضًا بيانات الاعتماد في العديد من التطبيقات الشائعة المدرجة في متجر تطبيقات Apple:

1. تنهار – أكثر من 3.9 مليون تقييم – بيانات اعتماد أمازون المشفرة
2. يوريكا: اربح المال مقابل الاستطلاعات – تقييمات 402.1 ألف+ – بيانات اعتماد أمازون المشفرة
3. فيديوشوب – محرر الفيديو – 357.9 ألف+ تقييمات – بيانات اعتماد أمازون المشفرة
4. لعبة سوليتير كلاش: اربح نقودًا حقيقية – أكثر من 244.8 ألف تقييم – بيانات اعتماد أمازون المشفرة
5. استطلاعات Zap – اكسب المال السهل – أكثر من 235 ألف تقييم – بيانات اعتماد أمازون المشفرة

على الرغم من أن متجر التطبيقات لا يبلغ عن عدد التنزيلات، إلا أن الرقم عادة ما يكون أعلى بكثير من مقدار التقييمات المدرجة.

تجدر الإشارة إلى أن Google تعرض في متجر Play إجمالي عدد التنزيلات طوال عمر التطبيق ولا تعكس عمليات التثبيت النشطة.

لا يعني وجود أي من التطبيقات المذكورة أعلاه على هاتفك أن بياناتك الشخصية قد تمت سرقتها، ولكن يمكن الوصول إليها ويمكن للمتسللين تسريبها ما لم يتخذ المطورون إجراءات وإزالة المخاطر.

وفي سبتمبر 2022، دقت سيمانتيك ناقوس الخطر بشأن هذا الخطر، مؤكدة أن باحثيها وجدوا أكثر من”https://www.security.com/threat-intelligence/mobile-supply-chain-aws” الهدف=”_blank” rel=”nofollow noopener”> 1800 تطبيق iOS وAndroid التي تحتوي على بيانات اعتماد AWS، 77% من التطبيقات لديها رموز وصول صالحة في قاعدة التعليمات البرمجية.

ويوصي الباحثون المطورين باتباع أفضل الممارسات لحماية المعلومات الحساسة في تطبيقات الهاتف المحمول.

يتضمن ذلك استخدام متغيرات البيئة لتخزين بيانات الاعتماد، واستخدام أدوات إدارة الأسرار (مثل AWS Secrets Manager وAzure Key Vault)، وتشفير البيانات، ومراجعة وتدقيق التعليمات البرمجية المنتظمة، ودمج المسح الأمني ​​الآلي في وقت مبكر من عملية التطوير لاكتشاف البيانات الحساسة أو مشكلات الأمان .