Milijonai iOS ir Android vartotojų – pavojuje: populiarios programėlės atskleidžia debesų saugyklų raktus

Neseniai atliktas „Symantec“ kibernetinio saugumo specialistų tyrimas atskleidė, kad daugybė populiarių iOS ir Android programėlių turi nesaugiai įterptus debesų saugyklų raktus. Ši rimta saugumo spraga gali kelti grėsmę milijonams vartotojų, nes neapsaugoti raktai leidžia kibernetiniams nusikaltėliams gauti neautorizuotą prieigą prie jautrių duomenų ir paslaugų, sukelti duomenų nutekėjimus ir trikdyti paslaugų veiklą.

Pagrindinė problema slypi programų kūrėjų naudojamoje praktikoje – debesų paslaugų raktai įterpiami tiesiogiai į programėlės kodą vietoje saugesnių saugojimo metodų. Tokiu būdu kibernetiniams nusikaltėliams tampa paprasta pasiekti svarbią informaciją, pavogti vartotojų duomenis arba sutrikdyti paslaugų teikimą.

Android atvejis: tarp paveiktų Android programėlių randame „Pic Stitch: Collage Maker“ (turinčią daugiau nei 5 milijonus atsisiuntimų), „Meru Cabs“, „Sulekha Business“ ir „ReSound Tinnitus Relief“. Šios programėlės turi kietai užkoduotus „AWS“ ir „Azure“ raktus, suteikiančius prieigą prie kritinių debesų saugyklų ir kitų pagrindinių paslaugų.

iOS atvejis: iOS platformoje aptiktos populiarios programėlės, tokios kaip „Crumbl“ (su daugiau nei 3,9 milijono įvertinimų), „Eureka: Earn Money for Surveys“ (402 tūkst. įvertinimų) ir „Videoshop – Video Editor“ (357,9 tūkst. įvertinimų). Šios programėlės turi kietai užkoduotus AWS raktus, įskaitant prieigos raktus bei WebSocket Secure (WSS) sąsajas, kas dar labiau palengvina galimų išpuolių įgyvendinimą.

Specialistų įžvalgos: kibernetinio saugumo ekspertai ragina programų kūrėjus naudoti saugesnius raktų laikymo metodus, kad užkoduotos debesų saugyklų prieigos netaptų kibernetinių išpuolių šaltiniu. Taip pat patariama vartotojams atsargiai rinktis programėles ir periodiškai atnaujinti saugumo nustatymus.