พบ !! แอป iOS กว่า 1,000 รายการ
เผยข้อมูล AWS ในรูปแบบฮาร์ดโค้ด
3 กันยายน 2565
นักวิจัยด้านความปลอดภัยแจ้งเตือนนักพัฒนาแอพพลิเคชั่นบนอุปกรณ์เคลื่อนที่ เรื่องของการปฏิบัติงานที่มีความเสี่ยง และอาจทำให้ข้อมูลประจำตัวของผู้ใช้บน Amazon Web Services (AWS) ถูกเปิดเผย โดยผู้ไม่หวังดีอาจใช้ประโยชน์จากช่องโหว่นี้ เพื่อเข้าถึงฐานข้อมูลส่วนตัวของผู้ใช้ ซึ่งนำไปสู่การละเมิดสิทธิส่วนบุคคล และการเปิดเผยข้อมูลส่วนตัวของผู้ใช้งาน
กลุ่มนักวิจัย Symantec’s Threat Hunting team ซึ่งเป็นส่วนหนึ่งของทีม Broadcom Software พบ 1,859 แอพพลิเคชั่นที่มีข้อมูลรับรองของ (AWS) แบบฮาร์ดโค้ดส่วนใหญ่เป็น แอพพลิเคชั่นของ iOS และอีก 37 แอพพลิเคชั่น สำหรับการใช้งาน Android โดยประมาณ 77% ของแอพพลิเคชั่นเหล่านี้จะมี access tokens ที่ใช้สำหรับเข้าถึง (AWS) เมื่อมีการตรวจสอบความถูกต้องของข้อมูลผู้ใช้แล้ว ถึงจะสามารถเข้าใช้บริการพื้นที่คลาวด์ส่วนตัวได้
นอกจากนี้มีแอพพลิเคชั่นกว่า 874 รายการ มี tokens (AWS) ที่ถูกต้องในการเข้าใช้งาน ซึ่งแฮกเกอร์สามารถใช้เพื่อเข้าถึงฐานข้อมูลบนระบบคลาวด์ที่มีการบันทึกไว้นับล้านรายการ ฐานข้อมูลเหล่านี้มักจะประกอบด้วยรายละเอียดบัญชีผู้ใช้งาน ข้อมูลการสื่อสารภายใน ข้อมูลการลงทะเบียน และข้อมูลที่สำคัญอื่นๆ จะขึ้นอยู่กับการใช้งานแต่ละประเภทแอพพลิเคชั่น
ปัญหานี้เกี่ยวข้องกับเรื่องของข้อมูลประจำตัวของผู้ใช้บริการคลาวด์แบบฮาร์ดโค้ด “ถูกลืม” โดยทั่วไปจะเป็นปัญหาของระบบการจัดการ เนื่องจากความประมาทของนักพัฒนา SDK และทำให้กระทบต่อการทำงาน และบริการทั้งหมดที่ต้องใช้ฐานข้อมูลในการประมวลผล
เรื่องการพัฒนาแอพพลิเคชั่นบนอุปกรณ์เคลื่อนที่ยังต้องคงอาศัยเครื่องมือ หรือส่วนประกอบสำเร็จรูปแทนการสร้างเองทุกอย่างตั้งแต่เริ่มต้น ดังนั้นหากผู้ใช้งานเองไม่มีการตรวจสอบ SDK และความถูกต้องของข้อมูลอย่างถี่ถ้วน ความปลอดภัยในการใช้งานก็จะลดน้อยลงและเสี่ยงที่จะเกิดช่องโหว่รวมถึงข้อผิดพลาดขึ้นไปยังในโครงการของตนเอง
สำหรับนักพัฒนาฮาร์ดโค้ดของข้อมูลประจำตัวในผลิตภัณฑ์ของตนเอง จะเป็นเรื่องของความสะดวกในการพัฒนาระบบและทดสอบ รวมถึงการตรวจสอบโค้ดที่เหมาะสมกับการใช้งาน เพื่อแก้ปัญหาด้านความปลอดภัย
ความผิดพลาดในการลบข้อมูลประจำตัวเหล่านี้ เกิดจากความประมาทของผู้ใช้งานเองที่ไม่ยอมทำตามขั้นตอนปฏิบัติ และไม่มีการตรวจสอบความถูกต้องรวมถึงการรักษาข้อมูลความปลอดภัยในการทำงาน
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา