AWS, Azure auth keys found in Android and iOS apps used by millions

iOSやAndroid向けの複数の一般的なモバイルアプリケーションには、Amazon Web Services(AWS)やMicrosoft Azure Blob Storageのようなクラウドサービス用の暗号化されていない認証情報がハードコードされており、ユーザーデータやソースコードがセキュリティ侵害の危険にさらされている。

この種の認証情報を公開すると、機密性の高いユーザー・データを含むストレージ・バケットやデータベースへの不正アクセスに簡単につながる。これとは別に、攻撃者はこれらを使ってデータを操作したり盗んだりする可能性がある。

Broadcom傘下のSymantecのレポートによると、これらのキーは開発段階でのエラーや悪習慣のためにアプリのコードベースに存在する。

「最近の分析で、いくつかの広く使われているアプリのコードベースに、暗号化されていないハードコードされたクラウドサービスの認証情報が含まれていることが判明しました

「この危険な行為は、アプリのバイナリやソースコードにアクセスできる誰もが、これらの認証情報を抽出し、データの操作や流出に悪用できる可能性があることを意味し、深刻なセキュリティ侵害につながる」と研究者は述べている。

シマンテックによると、研究者はGoogle Play上の以下のアプリでクラウドサービスへの認証情報を発見したという:

  1. Pic Stitch– 5M以上のダウンロード – Amazonのハードコードされた認証情報
  2. Meru Cabs– 5M以上のダウンロード – Microsoft Azure Blob Storageのハードコードされた認証情報
  3. Sulekha Business– 500K+ ダウンロード – Microsoft Azure Blob Storage ハードコードされた認証情報
  4. ReSound Tinnitus Relief– 500K+ ダウンロード – Microsoft Azure Blob Storage ハードコードされた資格情報
  5. Saludsa– 100K+ ダウンロード – Microsoft Azure Blob Storageハードコードされた資格情報
  6. Chola Ms Break In– 100K+ ダウンロード – Microsoft Azure Blob Storage ハードコードされたクレデンシャル
  7. EatSleepRIDE Motorcycle GPS– 100K+ ダウンロード – Twilio ハードコードされたクレデンシャル
  8. Beltone Tinnitus Calmer– 100K+ ダウンロード – Microsoft Azure Blob Storage ハードコードされたクレデンシャル
Exposure of keys on Pic Stitch code
Pic Stitch のコード上のキーの露出
ソースはこちら:シマンテック

また、AppleのApp Storeに掲載されているいくつかの人気アプリでも認証情報が発見された:

  1. Crumbl – 3.9M+ 評価 – Amazon ハードコードされた認証情報
  2. Eureka:アンケートでお金を稼ぐ – 402.1K+ 評価 – Amazonがハードコードした認証情報
  3. Videoshop – ビデオエディタ– 357.9K+ 評価 – Amazon ハードコードされた認証情報
  4. Solitaire Clash: Win Real Cash– 244.8K+ ratings – Amazon ハードコードされた認証情報
  5. Zap Surveys – Earn Easy Money– 235K+ ratings – Amazon hardcoded credentials
AWS credentials in Crumbl's codebase
CrumblのコードベースのAWS認証情報
ソースはこちら:シマンテック

App Storeはダウンロード数を報告していないが、その数は通常、表示されている評価数よりもはるかに多い。

GoogleがPlayストアで表示するダウンロード数は、アプリの有効期間中の総ダウンロード数であり、アクティブなインストール数は反映されないことは注目に値する。

あなたの携帯電話に上記のアプリのいずれかが存在することは、あなたの個人データが盗まれたことを意味しないが、それはアクセス可能であり、開発者が行動を起こし、リスクを取り除かない限り、ハッカーはそれを流出させる可能性がある。

2022年9月、シマンテックはこのリスクについて警鐘を鳴らし、同社の研究者がAWSの認証情報を含む1,800以上のiOSおよびAndroidアプリを発見し、そのうち77%のアプリのコードベースに有効なアクセストークンがあったことを強調した。

研究者は開発者に対し、モバイルアプリの機密情報を保護するためのベストプラクティスに従うことを推奨している。

これには、環境変数を使用して認証情報を保存すること、シークレット管理ツール(AWS Secrets Manager、Azure Key Vaultなど)を使用すること、データを暗号化すること、定期的なコードレビューと監査を行うこと、開発プロセスの早い段階で自動セキュリティスキャンを統合して機密データやセキュリティ上の問題を検出することなどが含まれる。