C’est un avertissement lancé aux développeurs d’applications mobiles qui ne respectent pas les règles basiques de sécurité. L’équipe de Threat Hunter de Symantec (filiale de Broadcom) a mené une analyse de plusieurs apps sur iOS et Androidun et a découvert des choses inquiétantes. « Plus de trois quart (77%) des applications contenaient des tokens d’accès AWS valides pour accéder à des services privés du cloud ». Cette découverte concerne 1859 applications iOS et Android, avec une écrasante majorité (98%) sur l’OS d’Apple, rapporte l’équipe.
Pour près de la moitié de ces applications (47%), les identifiants AWS donnent un accès complet à des buckets S3 comprenant des millions d’enregistrements. Ces bases de données contiennent généralement des détails de comptes utilisateurs, des logs, des communications internes, et d’autres informations sensibles. Cerise sur le gâteau : les tokens AWS trouvés sont utilisables pour d’autres applications, ce qui n’est pas sans poser des problèmes de sécurité sur le cycle de développement logiciel.
Coder en dur des identifiants AWS est dangereux
Dans l’étude, les chercheurs alertent en rappelant que « coder en dur les tokens AWS rend l’application vulnérable et constitue un sérieux risque ». Pour étayer leur propos, ils citent trois cas où cette exposition aurait pu avoir des conséquences catastrophiques pour les auteurs et les utilisateurs des apps. Le premier est un éditeur qui fournit des services d’intranet et de communication à plus de 15 000 entreprises de différentes tailles. L’application fournie aux clients pour accès à ses services contient des clés AWS, exposant ainsi toutes les données privées des clients stockées sur le cloud.
Dans un autre cas, une app d’identité et d’authentification tiers utilisée par plusieurs services bancaires sur iOS comprenait aussi des tokens AWS valides. Un pirate aurait pu donc avoir un accès aux données d'authentification de tous les clients de ces banques, y compris les noms, les dates de naissance et même les scans des empreintes digitales. Enfin, dernier exemple, une plateforme en ligne de paris sportifs servant à 16 applications de jeux, qui exposait toute son infrastructure et ses services dans le cloud avec des autorisations de lecture/écriture avec un privilège administrateur.
Commentaire