افشای اطلاعات مربوط به کلید‌های API سرویس ابری آمازون

تاریخ انتشار :
۲۶ ارديبهشت ۱۴۰۰

تهدیدات امنیتی ایجاد شده از طریق اپلیکیشن‌های تلفن همراه هم‌چنان خطری بزرگ برای توسعه دهندگان و کاربران است.

به گزارش گرداب، مجرمان امنیتی اغلب سعی می‌کنند تا از نقاط ضعف و تنظیمات نادرست در زیر ساخت‌های ابری اپلیکیشن‌های تلفن همراه iOS و اندروید سوءاستفاده کنند تا به اطلاعات شخصی کاربران دسترسی پیدا کرده و کنترل سایر برنامه‌های موجود در تلفن همراه را به دست بگیرند.

علی‌رغم وجود اسکن‌های امنیتی قوی، چند برنامه‌ی مخرب توانسته‌اند تا به اپ استور‌های رسمی راه پیدا کنند. برای پیدا کردن هر نوع مشکل یا تهدید امنیتی در برنامه‌ها، شرکت امنیت سایبری CloudSEK موتور جست‌وجویی را به نام BeVigil راه‌اندازی کرده است که قبل از نصب برنامه، اطلاع می‌دهد که آیا آن اپلیکیشن برای نصب به اندازه‌ی کافی امنیت دارد یا خیر.

تجزیه و تحلیل BeVigil
با کمک BeVigil، مشخص شد که ۰.۵% از اپلیکیشن‌های تلفن همراه، کلید‌های رابط برنامه‌نویسی اپلیکیشن (API) سرویس آمازون وب (AWS) را در معرض دید همگان قرار می‌دهند و اطلاعات حساس کاربر را به نمایش می‌گذارند. در بین ۱۰ هزار اپلیکیشنی که توسط BeVigil مورد تجزیه و تحلیل قرار گرفته‌اند، بیش از ۴۰ اپلیکیشن، کلید‌های خصوصی AWS را نمایش می‌دادند. این ۴۰ اپلیکیشن، برنامه‌هایی محبوب با بیش از ۱۰۰ میلیون دانلود هستند.

CloudSEK گفت: «با توجه به این که بیش از هشت میلیون اپلیکیشن در اپ استور وجود دارد، می‌توانیم تخمین بزنیم که هزاران اپلیکیشن موبایل، کلید‌های AWS را نشان می‌دهند و، چون میلیون‌ها کاربر از این برنامه‌ها استفاده می‌کنند، باید در رابطه با خطرات آن‌ها آگاهی‌رسانی شود. CloudSEK نگرانی‌های امنیتی را مستقیماً به AWS و شرکت‌های مربوطه اعلام کرده است.»

بعضی از برنامه‌های معروفی که کلید‌های خصوصی AWS را نشان می‌دهند عبارتند از: Clubfactory، Adobe Photoshopfix، Adobe Comp، Weather Forecast & Snow Radar، Wholee که فروشگاه خرید آنلاین است، Oven Story Pizza و Hootsuite.

خطراتی که با افشا شدن کلید‌های AWS به وجود می‌آید

کلید‌های افشا شده‌ی AWS برای مجرمان اینترنتی، راه‌های زیادی را برای سوءاستفاده ایجاد می‌کند تا بتوانند به طور غیرقانونی به زیرساخت‌های ابری برنامه‌ها دسترسی پیدا کنند. CloudSEK گفت: «ما متوجه شدیم که بسیاری از شرکت‌ها (چه بزرگ و چه کوچک) که میلیون‌ها مشتری دارند، اپلیکیشن‌هایی برای تلفن همراه دارند که کلید‌های API در آن‌ها کدگذاری شده‌اند.

این کلید‌ها به راحتی می‌توانند در دسترس هکر‌ها قرار بگیرند و از این طریق، آن‌ها به داده‌ها و شبکه‌ی برنامه دسترسی پیدا می‌کنند. این نشان‌دهنده‌ی وجود نقص در AWS نیست، بلکه نحوه‌ی نظارت روی کلید‌های AWS نامناسب است؛ بنابراین مسئولیت رسیدگی به نگرانی‌های امنیتی مربوط به سرویس‌هایی که از AWS استفاده می‌کنند، بر عهده‌ی خود شرکت‌هاست.»

لینک کوتاه:

گزارش خطا

ارسال نظر

نظر شما :

غیر قابل انتشار: ۰

در انتظار بررسی: ۰

انتشار یافته: ۰

خسارت ۶.۲ میلیون دلاری ناشی از هک حساب‌ها

طبق گفته‌های بیش از ۶۰۰ متخصص IT و امنیتی در ایالات متحده، میانگین خسارتی که از افشای اطلاعات حساب‌های ابری در طی ۱۲ ماه به دست آمده، به ۶.۲ میلیون دلار می‌رسد.

رونمایی از نسخه رسمی اندورید کلاب هاوس

کمپانی کلاب هاوس که نسخه اندروید نرم‌افزار صوت محور خود را به صورت قطره چکانی برای کاربران عرضه کرد بالاخره اعلام کرد که هم اکنون تمام کاربران اندرویدی جهان می‌توانند به این سرویس دسترسی داشته باشند.

پلیس اجازه استفاده از فناوری چهره آمازون را ندارد

آمازون ممنوعیت استفاده از فناوری شناسایی چهره خود توسط پلیس را تمدید کرده و از سوی دیگر قانونی جدید در ایالت ویرجینیا اجازه استفاده از چنین فناوری را منوط به مجوز قانونگذار ایالتی کرده است.

دو سوم از سازمان‌های جهان هنوز در معرض خطر حملات WannaCry قرار دارند

طبق تحقیقات جدید، بیش از دو سوم (۶۷%) از سازمان‌ها هنوز هم از پروتکل ناامن ویندوزی که در سال‌های ۲۰۱۷ و ۲۰۱۸ باعث حملات سایبری WannaCry و NotPetya شده بود، استفاده می‌کنند.