Molte popolari app iOS e Android contengono credenziali hardcoded e non crittografate per i servizi cloud, inclusi Amazon Web Services (AWS) e Microsoft Azure Blob Storage, avverte Symantec. Di conseguenza, i dati utente e il codice sorgente sono vulnerabili a potenziali aggressori.
I ricercatori spiegano che la fuga di tali chiavi potrebbe fornire agli aggressori l’accesso non autorizzato allo spazio di archiviazione e ai database contenenti dati sensibili e costituisce generalmente una grave violazione della sicurezza. Si noti che le chiavi generalmente finiscono nelle basi di codice dell’applicazione a causa di errori, negligenza e cattive pratiche degli sviluppatori.
“Questa è una situazione pericolosa perché chiunque abbia accesso al codice binario o sorgente delle applicazioni sarà in grado di estrarre queste credenziali e usarle per manipolare o rubare dati, portando a gravi violazioni della sicurezza“, affermano gli esperti.
Advertising
Gli esperti hanno trovato credenziali dei servizi cloud nelle seguenti applicazioni nel Google Play Store:
Pic Stitch (oltre 5 milioni di download) – Credenziali Amazon hardcoded;
Meru Cabs (oltre 5 milioni di download) – Credenziali Amazon hardcoded;
ReSound Tinnitus Relief (oltre 500.000 download) – Credenziali di archiviazione BLOB di Microsoft Azure codificate;
Saludsa (oltre 100.000 download): credenziali di archiviazione BLOB di Microsoft Azure hardcoded;
Chola Ms Break In (oltre 100.000 download) – Credenziali hardcoded di Microsoft Azure Blob Storage;
Vale la pena notare che l’App Store non elenca il numero di download, ma il numero di download solitamente supera il numero di valutazioni elencate.
I ricercatori spiegano che l’installazione di tali applicazioni, ovviamente, non compromette automaticamente il dispositivo, ma esiste il rischio che gli hacker si impossessino dei dati sensibili degli utenti se gli sviluppatori delle applicazioni non agiscono e risolvono il problema.
Allo stesso tempo, non è la prima volta che gli specialisti Symantec mettono in guardia da questo pericolo. Quindi, nel 2022, i ricercatori hanno scritto di aver scoperto più di 1.800 applicazioni per iOS e Android, il cui codice conteneva le credenziali AWS. Inoltre nel 77% dei casi si trattava di token di accesso validi.
Advertising
📢 Resta aggiornatoTi è piaciuto questo articolo? Rimani sempre informato seguendoci su Google Discover (scorri in basso e clicca segui) e su 🔔 Google News. Ne stiamo anche discutendo sui nostri social: 💼 LinkedIn, 📘 Facebook e 📸 Instagram. Hai una notizia o un approfondimento da segnalarci? ✉️ Scrivici
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
Betti RHC, la prima graphic novel al mondo dedicata alla cybersecurity awareness, ha finalmente il suo sito ufficiale. Uno spazio tutto suo dove scoprire il progetto, sfogliare le copertine degli episodi e immergersi nel mondo di Betti: la giovane laureanda in informatica che, dopo la morte misteriosa del padre, si trasforma nell'hacker più potente del mondo. Una storia avvincente che, episodio dopo episodio, affronta una minaccia digitale diversa — dal phishing al ransomware, fino al cyberbullismo — e insegna a riconoscerla e a difendersi, senza che sembri mai una lezione.
Sul sito trovate tutto ciò che rende Betti un progetto diverso dal solito: la sua filosofia, le anteprime delle tavole e il racconto di come nasce ogni volume. Perché dietro Betti RHC c'è solo lavoro umano: ogni tavola è disegnata interamente a mano dagli artisti del Gruppo Arte di Red Hot Cyber, senza alcun uso di intelligenza artificiale. E a garantire che ogni storia sia realistica e tecnicamente corretta c'è la supervisione degli hacker etici del gruppo HackerHood, che mantengono il racconto fedele al mondo reale della sicurezza informatica.
C'è spazio anche per le aziende, che possono usare Betti come strumento di awareness diverso dai soliti corsi: acquistare i volumi, personalizzarli con il proprio brand o sponsorizzare nuovi episodi. E come primo regalo, l'episodio "Byte the Silence", dedicato al cyberbullismo, è scaricabile gratuitamente per uso personale.