欢迎进入UG环球官网(环球UG)!

ipfs矿机(www.flacoin.vip):安装量跨越1亿的40款应用程序被发现泄露AWS密钥

admin1个月前97

USDT线下交易

U交所(www.9cx.net)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

大多数手机应用用户倾向于盲目地信托他们从应用商铺下载的应用是平安的,但现真相形并非总是云云。

为了大规模先容这些破绽并利便用户举行识别,网络平安和机械智能公司CloudSEK最近提供了一个名为BeVigil的平台,用户可以在安装应用程序之前搜索和检查应用程序的平安评级和其他平安问题。

与The Hacker News共享的最新讲述详细说明晰BeVigil搜索引擎是若何识别40多个应用程序(累计下载量跨越1亿次),这些应用程序中嵌入了硬编码的Amazon Web Services(AWS)专用密钥,从而将其内部网络和用户数据面临网络攻击的风险。

BeVigil发现盛行的应用程序泄露了AWS密钥

AWS密钥泄露已在一些主要应用程序中被发现,例如Adobe Photoshop Fix,Adobe Comp,Hootsuite,IBM的Weather Channel以及在线购物服务Club Factory和Wholee。这些效果是对提交给CloudSEK的移动应用平安搜索引擎BeVigil的1万多个应用程序举行剖析后得出的。

CloudSEK研究职员示意:

在移动应用程序源代码中硬编码的AWS密钥可能是一个伟大的破绽,稀奇是若是(身份和接见治理)角色具有普遍的局限和权限。误用的可能性异常大且攻击的危害性异常大,由于攻击可以链接,攻击者可以进一步接见整个基础设施,甚至代码库和设置。

CloudSEK示意,它认真任地向AWS和受影响的公司自力披露了这些平安问题。

在总部位于班加罗尔的网络平安公司剖析的应用程序中,公然的AWS密钥可以接见多个AWS服务,包罗S3存储服务的凭证,这反过来又可以接见88个存储桶,其中包罗10073444个文件和数据,总计5.5 tb。

存储桶中还包罗源代码、应用程序备份、用户讲述、测试工件、设置和凭证文件,这些文件可以用来深入接见应用程序的基础设施,包罗用户数据库。

从互联网接见的错误设置AWS实例是最近许多数据泄露的缘故原由。2019年10月,网络平安公司Imperva披漏,在2017年最先的一次客户数据库云迁徙失败后,其云防火墙产物的一部门用户的信息可以在网上接见。

上个月, 印度股票生意平台 Upstox 宣布通告称遭受黑客攻击,发生了严重的数据泄露事宜,数百万客户的小我私人信息可能已经被窃取。泄露数据包罗:客户的姓名,联系信息,出生日期,银行帐户信息以及数百万个KYC(Know Your Customer)详细信息,Upstox 以为这些信息是 ShinyHunters 黑客团伙在接见公司的 Amazon AWS 密钥后盗用的。经剖析,是Upstox设置了错误的AWS S3存储桶。对 KYC 数据的泄露尤其严重,由于它可能包罗身份证,护照,带照片的身份证件以及其他文件的扫描件,这些文件可以证实小我私人的住所,例如水电费账单。此类信息可辅助金融组织确定客户的真实身份,并袭击洗钱和资助恐怖主义行为,但若是这些信息落入造孽份子之手,则可能被身份盗用者和骗子滥用。

Bevigil首席手艺官Shahrukh Ahmad说:

硬编码API密钥就像给你的屋子加了锁,但将密钥留在标有'请勿打开'的信封中。这些密钥很容易被恶意黑客或竞争对手发现,他们可以使用它们来损坏其数据和网络。

什么是BeVigil,它是若何事情的?

BeVigil是一个移动平安搜索引擎,它允许研究职员搜索应用的元数据,审查他们的代码,查看平安讲述和风险评分,甚至扫描新的APK。

,

USDT场外交易网

U交所(www.9cx.net)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,

移动应用程序已成为许多最近的供应链攻击的目的,攻击者将恶意代码注入到应用程序开发职员使用的SDK中。平安团队可以依赖BeVigil来识别使用恶意SDK的任何恶意应用。通过使用元数据搜索,平安研究职员可以对网络上的种种应用程序举行深入观察。BeVigil天生的扫描讲述可供整个CloudSEK社区使用。总之,对于消费者和平安研究职员来说,它有点像VirusTotal。

你可以在BeVigil中寻找什么?

你可以在数以百万计的应用程序中搜索易受攻击的代码片断或要害字,以领会哪些应用程序包罗这些代码。这样,研究职员可以轻松剖析质量数据,关联威胁并处置误报。

除了通过简朴地输入名称来搜索特定应用程序外,还可以找到整个应用程序列表:

· 来自哪个开发组织;

· 高于或低于一定的平安评分;例如,平安得分为7的信用应用程序;

· 在特准时间段内宣布(选择“最先”和“竣事”日期),例如,确定2021年宣布的信用应用;

· 来自48个差异种别,例如金融、教育、工具、康健与健身等;

· 通过搜索特定开发者的电子邮件地址;

· 通过搜索在特定国家/区域开发的程序,例如,识别来自德国的银行应用;

· 通过搜索小我私人识别码或开发者电子邮件地址在特定位置开发的应用;

· 在后台录制音频;

· 在后台纪录位置;

· 可以接见摄像头装备;

· 可以接见;装备上的特定权限;

· 使用特定的目的SDK版本;

· 除此之外,还可以使用正则表达式通过查找代码模式来查找具有平安破绽的应用程序;

本文翻译自:https://thehackernews.com/2021/05/over-40-apps-with-more-than-100-million.html
上一篇 下一篇

猜你喜欢

网友评论

  • 2021-08-04 00:02:52

    usdt跑分网菜包钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜包Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。第一次看,讲的啥

随机文章
热门文章
热评文章
热门标签