1800’den Fazla Android ve iOS Uygulamasında ‘Yetersiz Güvenliğin Bir Sonucu Olarak’ AWS Hesap Bilgileri Bulundu 

Güvenlik uzmanları, mobil uygulamalara yönelik yetersiz güvenlik önlemlerinin bir sonucu olarak verdikleri örnekte, 1800’en fazla Android ve iOS uygulamasında AWS (Amazon Web Services) hesap bilgileri tespit edildiğini açıkladı.

Android ve iOS uygulamaları üzerinde yapılan incelemede, bunların yarısında aynı AWS hesap bilgilerinin yer aldığı kaydedildi. Çeşitli geliştirici ve şirketlerin de söz konusu bilgileri kendi uygulamalarında kullandığı ifade edildi. Ortaya çıkarılan durumun, mobil yazılım tedarik zinciri üzerinde önemli etkisi bulunduğu ifade edildi.

AWS erişim bilgileri ile bağlantılı veriler aşağıdaki gibi verildi:

– Paylaşımlı kitaplık,

– Üçüncü parti SDK (yazılım geliştirme kiti),

– Farklı bileşenler kullanılarak geliştirilen uygulamalar.

Tedarik zinciri riski 

Mobil uygulama yazılımı gelişim süreci, materyallerin üretildiği ve dağıtıldığı tedarik zincirine benzerlik taşır ve aşağıdaki ögeleri içerir:

– Yazılım kitaplıkları koleksiyonu,

– Yazılım gelişim kitleri (SDKs),

– Mobil uygulama geliştirme süreci.

Mobil uygulamalar bu yukarı yönlü tedarik zinciri konularında zafiyete dönüşebilir:

– Uygulama geliştiriciler kaynak kitaplıkları ve SDK’larının güvenlik zafiyeti bulundurduğunu genelde fark etmiyor,

– Mobil uygulamaların dışarıdan tedarik edilmesi, güvenlik risklerine kapı açacak zafiyetlerin tespit edilmesinin önüne geçebilir,

– Özellikle büyük şirketlerde uygulamalar çeşitli ekipler tarafından geliştiriliyor ve bu uygulamalar -ekipler arası hassasiyet kitaplıkları- kullanıyor.

Teknik analiz

Birçok senaryoda, AWS erişim bilgileri gibi veriler uygulamaların düzgün bir şekilde çalışması için gereken kaynakların indirilmesi için kullanılıyor. Aynı zamanda bulut hizmetlerine, ek olarak düzenleme dosyalarına erişim imkânı sunuyor.

Güvenlik uzmanları tarafından tespit edilen bir hadisede, adı açıklanmayan bir B2B şirketinin müşterilerine SDK ile beraber intranet (kurum içi ağ) ve iletişim ağı sunduğu görüldü. Bu senaryoda, şirketin bulut altyapı anahtarları, bulut altyapısı içerisindeki tercüme hizmetine erişim sağlamak için SDK içine gömülmüştü.

Bu eylemin sonucu olarak, şirketin müşterilerine ait tüm bilgiler kamuya saçıldı. Veri tabanında 15 bin civarında orta ve büyük şirket yer alıyordu. Veri tabanında söz konusu şirketlerin kurumsal veri ve finansal kayıtları yer alıyordu.

Ek olarak, araştırmacılar 5 adet iOS dijital bankacılık uygulamasının aynı AI Digital Identity SDK’sını kullandığını tespit etti. Sonuç olarak, 300 binden fazla parmak izi verisi tamamen sızdırıldı.

Söz konusu güvenlik zafiyetlerine maruz kalan şirketler, siber güvenlik uzmanları tarafından uyarıldı ve gerekli önlemlerin alındığı belirtildi.