تهدیدات امنیتی ایجاد شده از طریق اپلیکیشنهای تلفن همراه همچنان خطری بزرگ برای توسعه دهندگان و کاربران است.
به گزارش گرداب، مجرمان امنیتی اغلب سعی میکنند تا از نقاط ضعف و تنظیمات نادرست در زیر ساختهای ابری اپلیکیشنهای تلفن همراه iOS و اندروید سوءاستفاده کنند تا به اطلاعات شخصی کاربران دسترسی پیدا کرده و کنترل سایر برنامههای موجود در تلفن همراه را به دست بگیرند.
علیرغم وجود اسکنهای امنیتی قوی، چند برنامهی مخرب توانستهاند تا به اپ استورهای رسمی راه پیدا کنند. برای پیدا کردن هر نوع مشکل یا تهدید امنیتی در برنامهها، شرکت امنیت سایبری CloudSEK موتور جستوجویی را به نام BeVigil راهاندازی کرده است که قبل از نصب برنامه، اطلاع میدهد که آیا آن اپلیکیشن برای نصب به اندازهی کافی امنیت دارد یا خیر.
تجزیه و تحلیل BeVigil
با کمک BeVigil، مشخص شد که ۰.۵% از اپلیکیشنهای تلفن همراه، کلیدهای رابط برنامهنویسی اپلیکیشن (API) سرویس آمازون وب (AWS) را در معرض دید همگان قرار میدهند و اطلاعات حساس کاربر را به نمایش میگذارند. در بین ۱۰ هزار اپلیکیشنی که توسط BeVigil مورد تجزیه و تحلیل قرار گرفتهاند، بیش از ۴۰ اپلیکیشن، کلیدهای خصوصی AWS را نمایش میدادند. این ۴۰ اپلیکیشن، برنامههایی محبوب با بیش از ۱۰۰ میلیون دانلود هستند.
CloudSEK گفت: «با توجه به این که بیش از هشت میلیون اپلیکیشن در اپ استور وجود دارد، میتوانیم تخمین بزنیم که هزاران اپلیکیشن موبایل، کلیدهای AWS را نشان میدهند و، چون میلیونها کاربر از این برنامهها استفاده میکنند، باید در رابطه با خطرات آنها آگاهیرسانی شود. CloudSEK نگرانیهای امنیتی را مستقیماً به AWS و شرکتهای مربوطه اعلام کرده است.»
بعضی از برنامههای معروفی که کلیدهای خصوصی AWS را نشان میدهند عبارتند از: Clubfactory، Adobe Photoshopfix، Adobe Comp، Weather Forecast & Snow Radar، Wholee که فروشگاه خرید آنلاین است، Oven Story Pizza و Hootsuite.
خطراتی که با افشا شدن کلیدهای AWS به وجود میآید
کلیدهای افشا شدهی AWS برای مجرمان اینترنتی، راههای زیادی را برای سوءاستفاده ایجاد میکند تا بتوانند به طور غیرقانونی به زیرساختهای ابری برنامهها دسترسی پیدا کنند. CloudSEK گفت: «ما متوجه شدیم که بسیاری از شرکتها (چه بزرگ و چه کوچک) که میلیونها مشتری دارند، اپلیکیشنهایی برای تلفن همراه دارند که کلیدهای API در آنها کدگذاری شدهاند.
این کلیدها به راحتی میتوانند در دسترس هکرها قرار بگیرند و از این طریق، آنها به دادهها و شبکهی برنامه دسترسی پیدا میکنند. این نشاندهندهی وجود نقص در AWS نیست، بلکه نحوهی نظارت روی کلیدهای AWS نامناسب است؛ بنابراین مسئولیت رسیدگی به نگرانیهای امنیتی مربوط به سرویسهایی که از AWS استفاده میکنند، بر عهدهی خود شرکتهاست.»