เมนู

พบ !! แอ iOS กว่า 1,000 รายการ
เผ
ข้อมูล AWSรูปแบบฮาร์ดโค้ด

iOs_AWS

ผู้ใช้งาน Amazon Web Services (AWS) ถูกละเมิดสิทธิการใช้งาน และเปิดเผยข้อมูลส่วนบุคคล

3 กันยายน 2565

นักวิจัยด้านความปลอดภัยแจ้งเตือนนักพัฒนาแอพพลิเคชั่นบนอุปกรณ์เคลื่อนที่ เรื่องของการปฏิบัติงานที่มีความเสี่ยง และอาจทำให้ข้อมูลประจำตัวของผู้ใช้บน Amazon Web Services (AWS) ถูกเปิดเผย โดยผู้ไม่หวังดีอาจใช้ประโยชน์จากช่องโหว่นี้ เพื่อเข้าถึงฐานข้อมูลส่วนตัวของผู้ใช้ ซึ่งนำไปสู่การละเมิดสิทธิส่วนบุคคล และการเปิดเผยข้อมูลส่วนตัวของผู้ใช้งาน

กลุ่มนักวิจัย Symantec’s Threat Hunting team ซึ่งเป็นส่วนหนึ่งของทีม Broadcom Software พบ 1,859 แอพพลิเคชั่นที่มีข้อมูลรับรองของ (AWS) แบบฮาร์ดโค้ดส่วนใหญ่เป็น แอพพลิเคชั่นของ iOS และอีก 37 แอพพลิเคชั่น สำหรับการใช้งาน Android โดยประมาณ 77% ของแอพพลิเคชั่นเหล่านี้จะมี access tokens ที่ใช้สำหรับเข้าถึง (AWS) เมื่อมีการตรวจสอบความถูกต้องของข้อมูลผู้ใช้แล้ว ถึงจะสามารถเข้าใช้บริการพื้นที่คลาวด์ส่วนตัวได้

นอกจากนี้มีแอพพลิเคชั่นกว่า 874 รายการ มี tokens (AWS) ที่ถูกต้องในการเข้าใช้งาน ซึ่งแฮกเกอร์สามารถใช้เพื่อเข้าถึงฐานข้อมูลบนระบบคลาวด์ที่มีการบันทึกไว้นับล้านรายการ ฐานข้อมูลเหล่านี้มักจะประกอบด้วยรายละเอียดบัญชีผู้ใช้งาน ข้อมูลการสื่อสารภายใน ข้อมูลการลงทะเบียน และข้อมูลที่สำคัญอื่นๆ จะขึ้นอยู่กับการใช้งานแต่ละประเภทแอพพลิเคชั่น

ปัญหานี้เกี่ยวข้องกับเรื่องของข้อมูลประจำตัวของผู้ใช้บริการคลาวด์แบบฮาร์ดโค้ด “ถูกลืม” โดยทั่วไปจะเป็นปัญหาของระบบการจัดการ เนื่องจากความประมาทของนักพัฒนา SDK และทำให้กระทบต่อการทำงาน และบริการทั้งหมดที่ต้องใช้ฐานข้อมูลในการประมวลผล

เรื่องการพัฒนาแอพพลิเคชั่นบนอุปกรณ์เคลื่อนที่ยังต้องคงอาศัยเครื่องมือ หรือส่วนประกอบสำเร็จรูปแทนการสร้างเองทุกอย่างตั้งแต่เริ่มต้น ดังนั้นหากผู้ใช้งานเองไม่มีการตรวจสอบ SDK และความถูกต้องของข้อมูลอย่างถี่ถ้วน ความปลอดภัยในการใช้งานก็จะลดน้อยลงและเสี่ยงที่จะเกิดช่องโหว่รวมถึงข้อผิดพลาดขึ้นไปยังในโครงการของตนเอง

สำหรับนักพัฒนาฮาร์ดโค้ดของข้อมูลประจำตัวในผลิตภัณฑ์ของตนเอง จะเป็นเรื่องของความสะดวกในการพัฒนาระบบและทดสอบ รวมถึงการตรวจสอบโค้ดที่เหมาะสมกับการใช้งาน เพื่อแก้ปัญหาด้านความปลอดภัย

Symantec แจ้งถึงสาเหตุที่อาจุเกิดขึ้นได้ดังต่อไปนี้

  • การดาวน์โหลด หรืออัปโหลดเนื้อหาข้อมูลต่างๆ และข้อมูลต่างๆที่จำเป็นสำหรับแอพพลิเคชั่น เช่น ไฟล์ข้อมูลต่างๆ ไฟล์รูปภาพ และไฟล์สื่อที่เกี่ยวข้องกับการบันทึก
  • การเข้าถึงไฟล์ การกำหนดค่าหรับเข้าใช้งานบนแอพพลิเคชั่น และการลงทะเบียนผ่านอุปกรณ์ รวมถึงการรวบรวมข้อมูลที่ถูกจัดเก็บไว้บนระบบคลาวด์
  • การเข้าถึงแหล่งข้อมูลที่ต้องมีการยืนยันตัวตน หรือความถูกต้อง เช่น บริการแปลภาษาเหตุการณ์ทั่วไปที่ไม่มีเหตุผลเฉพาะ รหัสเสีย หรือรหัสไม่ดี ที่ใช้ในการทดสอบแต่ไม่เคยมีการลบออกจากระบบหลังจากใช้งานไปแล้ว

ความผิดพลาดในการลบข้อมูลประจำตัวเหล่านี้ เกิดจากความประมาทของผู้ใช้งานเองที่ไม่ยอมทำตามขั้นตอนปฏิบัติ และไม่มีการตรวจสอบความถูกต้องรวมถึงการรักษาข้อมูลความปลอดภัยในการทำงาน