Tajemství pevně zadaná v programovém kódu (hardcoding secrets) je často používaná praxe, kdy se některé informace přímo vkládají do zdrojového kódu aplikace namísto využití například obsahu proměnných.
Vadí vám uzavřený koncept aplikačního obchodu Applu?
Například přihlašovací údaje v klientských aplikacích jsou pak přístupná komukoli a hackeři je mohou snadno zneužít k získání přístupu do systémů.
Experti, jako je třeba agentura CISA nebo FBI, to považují za špatnou bezpečnostní praxi a nedoporučují ji využívat.
Jak ale ukázal výzkum, který uskutečnila firma Cybernews, obchod App Store byl plný takto zneužitelných programů.
Výzkumníci prošli více než 156 000 aplikací pro iOS, přičemž odhalili více než 815 000 takových pevně usazených tajemství, včetně těch, která jsou velmi citlivá a mohla by vést přímo k narušení bezpečnosti nebo úniku dat.
Video ke kávě
Máte čas na rychlé a informativní video?
Kód aplikace v App Store odhaluje průměrně 5,2 tajemství, přičemž alespoň jedno prozrazuje 71 % aplikací.
Většinu těchto dat lze sice považovat za málo citlivá, avšak stále zbývá poměrně dost velmi citlivých údajů, které vývojáři aplikací v podstatě vystavují ven.
„Mnoho lidí se domnívá, že aplikace pro iOS jsou bezpečnější a že je méně pravděpodobné, že budou obsahovat malware. Náš výzkum však ukázal, že mnoho aplikací v tomto ekosystému obsahuje snadno dostupné v kódu implementované přihlašovací údaje,“ tvrdí Aras Nazarovas, analytik Cybernews.
Podle něj se s kolegy vydali po stopě a našli otevřené databáze s osobními údaji a přístupnou infrastrukturou. „Někteří vývojáři pro iOS to hackerům prostě příliš usnadňují.“
Pište pro Computertrends
Máte dobré nápady, máte co říct? Chcete se podělit o své znalosti se čtenáři Computertrends?
Je tu ideální příležitost. V redakci neustále hledáme externí autory, kteří rozšíří náš záběr. Nabízíme možnost publikací zajímavých článků nejen na webu, ale také v našem tištěném magazínu.
Pokud máte zájem, ozvěte se šéfredaktorovi na e-mail: radan.dolejs@iinfo.cz
App Store je přitom známý svým přístupem označovaným jako „walled garden“ (oplocená zahrada) a velmi přísným procesem kontroly aplikací. Nehodnotí však přímo kód aplikace z hlediska pevně tajemství umístěných přímo v jejich kódu.
Co se týče konkrétních úlovků, výzkumníci získali přibližně 79 000 ID jedinečných identifikátorů pro projekty Google Cloud Platform. Tato ID se používají ke směrování požadavků API a správě zdrojů.
Podobný počet zjistili také u identifikátorů aplikací Google. Tyto klíče se používají k identifikaci aplikací zobrazujících reklamy a ke sledování statistik používání.
Nalezli rovněž téměř 83 000 odkazů na koncové body cloudových úložišť, z nichž skoro tisícovka nevyžaduje jakékoliv ověření.
Velkému riziku se také vystavili koncové body googlovské vývojové platformy Firebase – těch bylo nalezeno více než 51 000, z nichž tisíce jsou otevřené pro přístup cizích osob. Vystavené byly také tisíce klíčů pro Fabric API, Live Branch, MobApp Creator a další.
Stovky nejcitlivějších klíčů pak lze zneužít k platbám či získávání soukromých dat a komunikace.
Podrobnější informace o výsledcích výzkumu najdete na webu Cybernews.
Securitytrends si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
PŘEDPLATNÉ
ČLÁNKY DO MAILU