Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Select language
Inglese Spagnolo
Cerca
UtiliaCS 970x120
Redhotcyber Banner Sito 320x100px Uscita 101125
Le App Più Popolari contengono le Credenziali di accesso in chiaro dei servizi Cloud!

Le App Più Popolari contengono le Credenziali di accesso in chiaro dei servizi Cloud!

Redazione RHC : 24 Ottobre 2024 07:21

Molte popolari app iOS e Android contengono credenziali hardcoded e non crittografate per i servizi cloud, inclusi Amazon Web Services (AWS) e Microsoft Azure Blob Storage, avverte Symantec. Di conseguenza, i dati utente e il codice sorgente sono vulnerabili a potenziali aggressori.

I ricercatori spiegano che la fuga di tali chiavi potrebbe fornire agli aggressori l’accesso non autorizzato allo spazio di archiviazione e ai database contenenti dati sensibili e costituisce generalmente una grave violazione della sicurezza. Si noti che le chiavi generalmente finiscono nelle basi di codice dell’applicazione a causa di errori, negligenza e cattive pratiche degli sviluppatori.

Questa è una situazione pericolosa perché chiunque abbia accesso al codice binario o sorgente delle applicazioni sarà in grado di estrarre queste credenziali e usarle per manipolare o rubare dati, portando a gravi violazioni della sicurezza“, affermano gli esperti.


Rhc Conference Sponsor Program 2

Sponsorizza la prossima Red Hot Cyber Conference!
Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Gli esperti hanno trovato credenziali dei servizi cloud nelle seguenti applicazioni nel Google Play Store:

  • Pic Stitch (oltre 5 milioni di download) – Credenziali Amazon hardcoded;
  • Meru Cabs (oltre 5 milioni di download) – Credenziali Amazon hardcoded;
  • ReSound Tinnitus Relief (oltre 500.000 download) – Credenziali di archiviazione BLOB di Microsoft Azure codificate;
  • Saludsa (oltre 100.000 download): credenziali di archiviazione BLOB di Microsoft Azure hardcoded;
  • Chola Ms Break In (oltre 100.000 download) – Credenziali hardcoded di Microsoft Azure Blob Storage;
  • EatSleepRIDE GPS per moto (oltre 100.000 download) – credenziali Twilio hardcoded;
  • Beltone Tinnitus Calmer (oltre 100.000 download) – Credenziali di archiviazione BLOB di Microsoft Azure hardcoded.
Il codice Pic Stitch

Un problema simile è stato riscontrato in una serie di applicazioni popolari nell’Apple App Store:

  • Crumbl (oltre 3,9 milioni di download): credenziali Amazon hardcoded;
  • Eureka: guadagna denaro con i sondaggi (oltre 402.100 download) – credenziali Amazon codificate;
  • Videoshop – Editor video (oltre 357.900 download) – Credenziali Amazon hardcoded;
  • Solitaire Clash: vinci denaro reale (oltre 244.800 download) – Credenziali Amazon hardcoded;
  • Zap Surveys – Guadagna denaro facile (oltre 235.000 download) – Credenziali Amazon hardcoded.

Vale la pena notare che l’App Store non elenca il numero di download, ma il numero di download solitamente supera il numero di valutazioni elencate.

I ricercatori spiegano che l’installazione di tali applicazioni, ovviamente, non compromette automaticamente il dispositivo, ma esiste il rischio che gli hacker si impossessino dei dati sensibili degli utenti se gli sviluppatori delle applicazioni non agiscono e risolvono il problema.

Allo stesso tempo, non è la prima volta che gli specialisti Symantec mettono in guardia da questo pericolo. Quindi, nel 2022, i ricercatori hanno scritto di aver scoperto più di 1.800 applicazioni per iOS e Android, il cui codice conteneva le credenziali AWS. Inoltre nel 77% dei casi si trattava di token di accesso validi.

Immagine del sitoRedazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
Il Consiglio Supremo di Difesa Italiano discute sulla minacce ibride e digitali in Italia e Europa
Di Redazione RHC - 20/11/2025

Il Consiglio Supremo di Difesa, si è riunito recentemente al Quirinale sotto la guida del Presidente Sergio Mattarella, ha posto al centro della discussione l’evoluzione delle minacce ibride e digi...

Immagine del sito
Tanti auguri Windows! 40 anni di storia dei sistemi operativi e non sentirli
Di Redazione RHC - 20/11/2025

Esattamente 40 anni fa, il 20 novembre 1985, Microsoft rilasciò Windows 1.0, la prima versione di Windows, che tentò di trasformare l’allora personal computer da una macchina con una monotona riga...

Immagine del sito
Giornata Mondiale dell’Infanzia: I bambini vivono nel digitale, ma il digitale non è stato progettato per loro
Di Simone D'Agostino - 20/11/2025

Oggi ricorre la Giornata Mondiale dell’Infanzia, fissata dall’ONU il 20 novembre per ricordare due atti fondamentali: la Dichiarazione dei Diritti del Fanciullo del 1959 e, trent’anni dopo, la C...

Immagine del sito
Veeam lancia Data Platform v13 e ridefinisce lo standard per la cyber resilienza e la protezione avanzata dei dati
Di Redazione RHC - 20/11/2025

Con nuove funzionalità per anticipare le minacce e accelerare il ripristino grazie a sicurezza di nuova generazione, approfondimenti forensi e automazione intelligente, Veeam lancia anche la Universa...

Immagine del sito
Che la caccia abbia inizio! Il bug critico su 7-Zip mette milioni di utenti a rischio
Di Redazione RHC - 20/11/2025

Milioni di utenti sono esposti al rischio di infezioni da malware e compromissione del sistema a causa dello sfruttamento attivo da parte degli hacker di una vulnerabilità critica di esecuzione di co...