信息化觀察網(wǎng)

大多數(shù)手機應用用戶傾向于盲目地相信他們從應用商店下載的應用是安全的，但實際情況并非總是如此。

為了大規(guī)模介紹這些漏洞并方便用戶進行識別，網(wǎng)絡(luò)安全和機器智能公司CloudSEK最近提供了一個名為BeVigil的平臺，用戶可以在安裝應用程序之前搜索和檢查應用程序的安全評級和其他安全問題。

與The Hacker News共享的最新報告詳細說明了BeVigil搜索引擎是如何識別40多個應用程序（累計下載量超過1億次），這些應用程序中嵌入了硬編碼的Amazon Web Services（AWS）專用密鑰，從而將其內(nèi)部網(wǎng)絡(luò)和用戶數(shù)據(jù)面臨網(wǎng)絡(luò)攻擊的風險。

BeVigil發(fā)現(xiàn)流行的應用程序泄漏了AWS密鑰

AWS密鑰泄漏已在一些主要應用程序中被發(fā)現(xiàn)，例如Adobe Photoshop Fix，Adobe Comp，Hootsuite，IBM的Weather Channel以及在線購物服務Club Factory和Wholee。這些結(jié)果是對提交給CloudSEK的移動應用安全搜索引擎BeVigil的1萬多個應用程序進行分析后得出的。

CloudSEK研究人員表示:

在移動應用程序源代碼中硬編碼的AWS密鑰可能是一個巨大的漏洞，特別是如果(身份和訪問管理)角色具有廣泛的范圍和權(quán)限。誤用的可能性非常大且攻擊的危害性非常大，因為攻擊可以鏈接，攻擊者可以進一步訪問整個基礎(chǔ)設(shè)施，甚至代碼庫和配置。

CloudSEK表示，它負責任地向AWS和受影響的公司獨立披露了這些安全問題。

在總部位于班加羅爾的網(wǎng)絡(luò)安全公司分析的應用程序中，公開的AWS密鑰可以訪問多個AWS服務，包括S3存儲服務的憑據(jù)，這反過來又可以訪問88個存儲桶，其中包含10073444個文件和數(shù)據(jù)，總計5.5 tb。

存儲桶中還包括源代碼、應用程序備份、用戶報告、測試工件、配置和憑據(jù)文件，這些文件可以用來深入訪問應用程序的基礎(chǔ)設(shè)施，包括用戶數(shù)據(jù)庫。

從互聯(lián)網(wǎng)訪問的錯誤配置AWS實例是最近許多數(shù)據(jù)泄漏的原因。2019年10月，網(wǎng)絡(luò)安全公司Imperva披漏，在2017年開始的一次客戶數(shù)據(jù)庫云遷移失敗后，其云防火墻產(chǎn)品的一部分用戶的信息可以在網(wǎng)上訪問。

上個月,印度股票交易平臺Upstox發(fā)布公告稱遭受黑客攻擊，發(fā)生了嚴重的數(shù)據(jù)泄露事件，數(shù)百萬客戶的個人信息可能已經(jīng)被竊取。泄漏數(shù)據(jù)包括：客戶的姓名，聯(lián)系信息，出生日期，銀行帳戶信息以及數(shù)百萬個KYC（Know Your Customer）詳細信息，Upstox認為這些信息是ShinyHunters黑客團伙在訪問公司的Amazon AWS密鑰后盜用的。經(jīng)分析，是Upstox配置了錯誤的AWS S3存儲桶。對KYC數(shù)據(jù)的泄露尤其嚴重，因為它可能包含身份證，護照，帶照片的身份證件以及其他文件的掃描件，這些文件可以證明個人的住所，例如水電費賬單。此類信息可幫助金融組織確定客戶的真實身份，并打擊洗錢和資助恐怖主義行為，但如果這些信息落入不法份子之手，則可能被身份盜用者和騙子濫用。

Bevigil首席技術(shù)官Shahrukh Ahmad說:

硬編碼API密鑰就像給你的房子加了鎖，但將密鑰留在標有'請勿打開'的信封中。這些密鑰很容易被惡意黑客或競爭對手發(fā)現(xiàn)，他們可以使用它們來破壞其數(shù)據(jù)和網(wǎng)絡(luò)。

什么是BeVigil，它是如何工作的?

BeVigil是一個移動安全搜索引擎，它允許研究人員搜索應用的元數(shù)據(jù)，審查他們的代碼，查看安全報告和風險評分，甚至掃描新的APK。

移動應用程序已成為許多最近的供應鏈攻擊的目標，攻擊者將惡意代碼注入到應用程序開發(fā)人員使用的SDK中。安全團隊可以依靠BeVigil來識別使用惡意SDK的任何惡意應用。通過使用元數(shù)據(jù)搜索，安全研究人員可以對網(wǎng)絡(luò)上的各種應用程序進行深入調(diào)查。BeVigil生成的掃描報告可供整個CloudSEK社區(qū)使用?？傊瑢τ谙M者和安全研究人員來說，它有點像VirusTotal。

你可以在BeVigil中尋找什么?

你可以在數(shù)以百萬計的應用程序中搜索易受攻擊的代碼片段或關(guān)鍵字，以了解哪些應用程序包含這些代碼。這樣，研究人員可以輕松分析質(zhì)量數(shù)據(jù)，關(guān)聯(lián)威脅并處理誤報。

除了通過簡單地輸入名稱來搜索特定應用程序外，還可以找到整個應用程序列表：

·來自哪個開發(fā)組織；

·高于或低于一定的安全評分；例如，安全得分為7的信用應用程序；

·在特定時間段內(nèi)發(fā)布（選擇“開始”和“結(jié)束”日期），例如，確定2021年發(fā)布的信用應用；

·來自48個不同類別，例如金融、教育、工具、健康與健身等；

·通過搜索特定開發(fā)者的電子郵件地址；

·通過搜索在特定國家/地區(qū)開發(fā)的程序，例如，識別來自德國的銀行應用；

·通過搜索個人識別碼或開發(fā)者電子郵件地址在特定位置開發(fā)的應用；

·在后臺錄制音頻；

·在后臺記錄位置；

·可以訪問攝像頭設(shè)備；

·可以訪問；設(shè)備上的特定權(quán)限；

·使用特定的目標SDK版本；

·除此之外，還可以使用正則表達式通過查找代碼模式來查找具有安全漏洞的應用程序；