Table of Contents
Exposição de Credenciais em Aplicativos Móveis
Pesquisadores da Symantec identificaram que diversos aplicativos móveis amplamente utilizados, muitos com milhões de downloads, expõem credenciais codificadas e não criptografadas para serviços de nuvem em seus códigos. Esta prática pode permitir que qualquer pessoa com acesso ao binário do aplicativo ou ao código-fonte extraia as credenciais, explorando a infraestrutura da nuvem para fins indevidos.
Credenciais em Aplicativos Populares
Aplicativos populares tanto para dispositivos Android quanto para iPhone contêm credenciais para serviços como Amazon Web Services (AWS) e Microsoft Azure Blob Storage em seus códigos, conforme revelado pela Symantec. Essas vulnerabilidades estão disponíveis nas lojas oficiais dos aplicativos:
- Google Play
- Apple’s App Store
“Essa prática perigosa significa que qualquer pessoa com acesso ao binário ou código fonte do aplicativo pode potencialmente extrair essas credenciais e usá-las para manipular ou exfiltrar dados, levando a sérias violações de segurança”, escreveram os engenheiros da Symantec.
A natureza generalizada das vulnerabilidades em aplicativos para iOS e Android destaca a urgente necessidade de uma mudança para práticas de desenvolvimento mais seguras.
Vulnerabilidades em Aplicativos iOS
Symantec examinou três aplicativos iOS que também foram encontrados com credenciais da AWS. Um deles, chamado Crumbl, que possui mais de 3,9 milhões de avaliações e é classificado como o quinto na categoria Alimentos e Bebidas na Apple App Store, inicializa um AWSStaticCredentialsProvider com credenciais em texto plano.
Além disso, o aplicativo também apresenta outro “grande erro de segurança” ao incluir um WebSocket Secure (WSS) codificado em seu código, o que torna mais fácil para atacantes interceptarem ou manipularem comunicações.
Outro aplicativo, Eureka: Earn Money for Surveys, armazena um objeto INMAWSCredentials e o inicializa com a chave de acesso e a chave secreta em texto simples, expondo recursos críticos da nuvem a possíveis ataques.
Exposição de Credenciais Azure em Aplicativos Android
Em contraste, três aplicativos Android expõem credenciais para o Microsoft Azure Blob Storage diretamente em seus binários ou códigos. O aplicativo Meru Cabs, uma plataforma de compartilhamento de caronas da Índia, contém credenciais da Azure dentro de seu serviço UploadLogs, incluindo uma string de conexão que contém uma chave de conta.
Os engenheiros escreveram: “Essa string de conexão é usada para gerenciar uploads de logs, expondo recursos críticos de armazenamento em nuvem a possíveis abusos.”
Mitigação Começa com o Desenvolvimento de Aplicativos
As descobertas da Symantec foram publicadas um dia após um relatório da Datadog que concluiu que credenciais não gerenciadas que permanecem por muito tempo em uma rede baseada na nuvem representam um risco de segurança para metade das organizações. A divulgação inadvertida de credenciais para serviços de nuvem expõe qualquer organização a riscos significativos, segundo a Symantec.
Uma boa prática para mitigar esses riscos é seguir as melhores práticas de desenvolvimento de aplicativos, como o uso de variáveis de ambiente para armazenar credenciais sensíveis, garantindo que não sejam embarcadas diretamente no código do aplicativo.
Além disso, recomenda-se o uso de ferramentas dedicadas de gerenciamento de segredos, como AWS Secrets Manager ou Azure Key Vault, para armazenar e acessar credenciais de forma segura. Se as credenciais precisarem ser armazenadas no aplicativo, devem ser protegidas com algoritmos de criptografia fortes e descriptografadas em tempo de execução.
Por fim, um método eficaz para proteger credenciais e evitar erros no desenvolvimento de aplicativos é integrar ferramentas automatizadas de escaneamento de segurança no pipeline de desenvolvimento para detectar falhas comuns no início do processo de desenvolvimento.
#Segurança #Tecnologia #DesenvolvimentoDeApps #Credenciais #Symantec #Cibersegurança #Vulnerabilidades #AWS #Azure