محققان دریافتهاند که بیش از ۱۸۰۰ اپلیکیشن اندروید و iOS رمزهای یکبار مصرف سرویس وب آمازون را را فاش میکنند.
۰
اندروید و iOS اطلاعات را فاش میکنند
اختصاصی افتانا
منبع : Cyber Security News
محققان دریافتهاند که بیش از ۱۸۰۰ اپلیکیشن اندروید و iOS رمزهای یکبار مصرف سرویس وب آمازون را را فاش میکنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از Cyber Security News، محققان امنیت سایبری در سیمَنتک (Symantec) اخیراً در مورد خطرات مربوط به اقدامات امنیتی ضعیف هشدار دادهاند و خاطرنشان کردهاند که رمزهای یکبار مصرفی را مربوط به سرویس وب آمازون (AWS) در بیش از یکهزار و ۸۰۰ اپلیکیشن اندروید و iOS پیدا کردهاند.
تقریباً تمام برنامههای کاربردی iOS و اندروید که از این قابلیت استفاده میکنند، توسط تیم شکار تهدید سیمَنتک مورد بررسی قرار گرفتهاند.
بر اساس گزارش این تیم تحقیقاتی، در بیش از ۵۰ درصد اپلیکیشنهای این دو سیستم عامل تلفن هوشمند، توکنهای AWS دیده شدند و توسعهدهندگان و شرکتهای متخلف از این توکنها در برنامههایشان استفاده کردهاند که پیامدهای بسیار جدی برای زنجیره تأمین نرمافزار در نتیجه خواهد داشت.
مواردی وجود دارد که میتوان آنها را در توکنهای دسترسی AWS ردیابی کرد.
ریسک زنجیره تأمین
فرآیند توسعه نرمافزار کاربردی موبایل شبیه به زنجیره تأمین برای تولید و توزیع کالاهای مواد است و شامل موارد زیر است:
• مجموعه کتابخانههای نرمافزاری
• کیتهای توسعه نرم افزار (SDK)
• توسعه اپلیکیشنهای موبایل
برنامههای تلفن همراه میتوانند در برابر این مشکلات زنجیره تأمین بالادست آسیبپذیر شوند:
• موارد زیادی وجود دارد که توسعهدهندگان برنامههای تلفن همراه از آسیبپذیر بودن کتابخانه های منبع و SDKهای برنامههایشان بیاطلاع هستند.
• خطر برون سپاری توسعه برنامههای تلفن همراه این است که شرکتها در نهایت با آسیبپذیریهایی در برنامهها مواجه شوند که میتواند آنها را در معرض خطر قرار دهد.
• در اکثر شرکتها، بهویژه شرکتهای بزرگتر، چندین برنامه توسط تیمهای مختلف در حال توسعه هستند و این برنامهها از کتابخانههای آسیبپذیر متقابل استفاده میکنند.
در بیشتر موارد، از این نوع اعتبار برای دانلود منابعی استفاده میشود که برای عملکرد صحیح برنامه ضروری هستند. در کنار این، احراز هویت را به سرویسهای ابری و دسترسی به فایلهای پیکربندی امکانپذیر میکند.
علاوه بر این، محققان همچنین پنج برنامه بانکی iOS را کشف کردند که از یک SDK به منظور احراز هویت مشتریانشان استفاده میکنند که این مسئله باعث شده است بیش از ۳۰۰ هزار اثر انگشت فاش شود.
با این حال، پس از دیده شدن چنین نقصهایی، به شرکتهایی که اپلیکیشن توسعه میدهند اطلاع داده شد تا نقصهای امنیتی برنامههایشان را برطرف کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات) به نقل از Cyber Security News، محققان امنیت سایبری در سیمَنتک (Symantec) اخیراً در مورد خطرات مربوط به اقدامات امنیتی ضعیف هشدار دادهاند و خاطرنشان کردهاند که رمزهای یکبار مصرفی را مربوط به سرویس وب آمازون (AWS) در بیش از یکهزار و ۸۰۰ اپلیکیشن اندروید و iOS پیدا کردهاند.
تقریباً تمام برنامههای کاربردی iOS و اندروید که از این قابلیت استفاده میکنند، توسط تیم شکار تهدید سیمَنتک مورد بررسی قرار گرفتهاند.
بر اساس گزارش این تیم تحقیقاتی، در بیش از ۵۰ درصد اپلیکیشنهای این دو سیستم عامل تلفن هوشمند، توکنهای AWS دیده شدند و توسعهدهندگان و شرکتهای متخلف از این توکنها در برنامههایشان استفاده کردهاند که پیامدهای بسیار جدی برای زنجیره تأمین نرمافزار در نتیجه خواهد داشت.
مواردی وجود دارد که میتوان آنها را در توکنهای دسترسی AWS ردیابی کرد.
ریسک زنجیره تأمین
فرآیند توسعه نرمافزار کاربردی موبایل شبیه به زنجیره تأمین برای تولید و توزیع کالاهای مواد است و شامل موارد زیر است:
• مجموعه کتابخانههای نرمافزاری
• کیتهای توسعه نرم افزار (SDK)
• توسعه اپلیکیشنهای موبایل
برنامههای تلفن همراه میتوانند در برابر این مشکلات زنجیره تأمین بالادست آسیبپذیر شوند:
• موارد زیادی وجود دارد که توسعهدهندگان برنامههای تلفن همراه از آسیبپذیر بودن کتابخانه های منبع و SDKهای برنامههایشان بیاطلاع هستند.
• خطر برون سپاری توسعه برنامههای تلفن همراه این است که شرکتها در نهایت با آسیبپذیریهایی در برنامهها مواجه شوند که میتواند آنها را در معرض خطر قرار دهد.
• در اکثر شرکتها، بهویژه شرکتهای بزرگتر، چندین برنامه توسط تیمهای مختلف در حال توسعه هستند و این برنامهها از کتابخانههای آسیبپذیر متقابل استفاده میکنند.
در بیشتر موارد، از این نوع اعتبار برای دانلود منابعی استفاده میشود که برای عملکرد صحیح برنامه ضروری هستند. در کنار این، احراز هویت را به سرویسهای ابری و دسترسی به فایلهای پیکربندی امکانپذیر میکند.
علاوه بر این، محققان همچنین پنج برنامه بانکی iOS را کشف کردند که از یک SDK به منظور احراز هویت مشتریانشان استفاده میکنند که این مسئله باعث شده است بیش از ۳۰۰ هزار اثر انگشت فاش شود.
با این حال، پس از دیده شدن چنین نقصهایی، به شرکتهایی که اپلیکیشن توسعه میدهند اطلاع داده شد تا نقصهای امنیتی برنامههایشان را برطرف کنند.
کد مطلب : 19407
https://aftana.ir/vdca0yn6.49now15kk4.htmlaftana.ir/vdca0yn6.49now15kk4.html
آخرین عناوین
پربيننده ترين
۱
۲
۳
۴
۵
پربحث ترین
۱