افشای اطلاعات مربوط به کلید‌های API سرویس ابری آمازون

افشای اطلاعات مربوط به کلید‌های API سرویس ابری آمازون
تاریخ انتشار : ۲۶ ارديبهشت ۱۴۰۰

تهدیدات امنیتی ایجاد شده از طریق اپلیکیشن‌های تلفن همراه هم‌چنان خطری بزرگ برای توسعه دهندگان و کاربران است.

به گزارش گرداب، مجرمان امنیتی اغلب سعی می‌کنند تا از نقاط ضعف و تنظیمات نادرست در زیر ساخت‌های ابری اپلیکیشن‌های تلفن همراه iOS و اندروید سوءاستفاده کنند تا به اطلاعات شخصی کاربران دسترسی پیدا کرده و کنترل سایر برنامه‌های موجود در تلفن همراه را به دست بگیرند.

علی‌رغم وجود اسکن‌های امنیتی قوی، چند برنامه‌ی مخرب توانسته‌اند تا به اپ استور‌های رسمی راه پیدا کنند. برای پیدا کردن هر نوع مشکل یا تهدید امنیتی در برنامه‌ها، شرکت امنیت سایبری CloudSEK موتور جست‌وجویی را به نام BeVigil راه‌اندازی کرده است که قبل از نصب برنامه، اطلاع می‌دهد که آیا آن اپلیکیشن برای نصب به اندازه‌ی کافی امنیت دارد یا خیر.

تجزیه و تحلیل BeVigil
با کمک BeVigil، مشخص شد که ۰.۵% از اپلیکیشن‌های تلفن همراه، کلید‌های رابط برنامه‌نویسی اپلیکیشن (API) سرویس آمازون وب (AWS) را در معرض دید همگان قرار می‌دهند و اطلاعات حساس کاربر را به نمایش می‌گذارند. در بین ۱۰ هزار اپلیکیشنی که توسط BeVigil مورد تجزیه و تحلیل قرار گرفته‌اند، بیش از ۴۰ اپلیکیشن، کلید‌های خصوصی AWS را نمایش می‌دادند. این ۴۰ اپلیکیشن، برنامه‌هایی محبوب با بیش از ۱۰۰ میلیون دانلود هستند.

CloudSEK گفت: «با توجه به این که بیش از هشت میلیون اپلیکیشن در اپ استور وجود دارد، می‌توانیم تخمین بزنیم که هزاران اپلیکیشن موبایل، کلید‌های AWS را نشان می‌دهند و، چون میلیون‌ها کاربر از این برنامه‌ها استفاده می‌کنند، باید در رابطه با خطرات آن‌ها آگاهی‌رسانی شود. CloudSEK نگرانی‌های امنیتی را مستقیماً به AWS و شرکت‌های مربوطه اعلام کرده است.»

بعضی از برنامه‌های معروفی که کلید‌های خصوصی AWS را نشان می‌دهند عبارتند از: Clubfactory، Adobe Photoshopfix، Adobe Comp، Weather Forecast & Snow Radar، Wholee که فروشگاه خرید آنلاین است، Oven Story Pizza و Hootsuite.

خطراتی که با افشا شدن کلید‌های AWS به وجود می‌آید

کلید‌های افشا شده‌ی AWS برای مجرمان اینترنتی، راه‌های زیادی را برای سوءاستفاده ایجاد می‌کند تا بتوانند به طور غیرقانونی به زیرساخت‌های ابری برنامه‌ها دسترسی پیدا کنند. CloudSEK گفت: «ما متوجه شدیم که بسیاری از شرکت‌ها (چه بزرگ و چه کوچک) که میلیون‌ها مشتری دارند، اپلیکیشن‌هایی برای تلفن همراه دارند که کلید‌های API در آن‌ها کدگذاری شده‌اند.

این کلید‌ها به راحتی می‌توانند در دسترس هکر‌ها قرار بگیرند و از این طریق، آن‌ها به داده‌ها و شبکه‌ی برنامه دسترسی پیدا می‌کنند. این نشان‌دهنده‌ی وجود نقص در AWS نیست، بلکه نحوه‌ی نظارت روی کلید‌های AWS نامناسب است؛ بنابراین مسئولیت رسیدگی به نگرانی‌های امنیتی مربوط به سرویس‌هایی که از AWS استفاده می‌کنند، بر عهده‌ی خود شرکت‌هاست.»