Google Play और Apple App Store पर व्यापक रूप से उपयोग किए जाने वाले मोबाइल ऐप्स के विश्लेषण में हार्डकोडेड और अनएन्क्रिप्टेड क्लाउड सेवा क्रेडेंशियल पाए गए हैं, जिससे लाखों उपयोगकर्ताओं को बड़ी सुरक्षा समस्याओं का सामना करना पड़ रहा है।
समस्या आलसी कोडिंग से उत्पन्न होती है, के अनुसार युआनजिंग गुओ और टॉमी डोंग, सिमेंटेक की सुरक्षा प्रौद्योगिकी और प्रतिक्रिया में सॉफ्टवेयर इंजीनियरों की एक जोड़ी। दोनों ने चेतावनी दी है कि कोड में क्रेडिट छोड़ने का मतलब है कि ऐप के बाइनरी या सोर्स कोड तक पहुंच रखने वाला कोई भी व्यक्ति बैकएंड इंफ्रास्ट्रक्चर तक पहुंच प्राप्त कर सकता है और संभावित रूप से उपयोगकर्ता डेटा को घुसपैठ कर सकता है।
सिमेंटेक के शोधकर्ताओं ने चेतावनी दी, “यह अभ्यास संभावित हमलों के लिए महत्वपूर्ण बुनियादी ढांचे को उजागर करता है, उपयोगकर्ता डेटा और बैकएंड सेवाओं को खतरे में डालता है।” उन्होंने कहा, “आईओएस और एंड्रॉइड दोनों प्लेटफार्मों पर इन कमजोरियों की व्यापक प्रकृति अधिक सुरक्षित विकास प्रथाओं की ओर बदलाव की तत्काल आवश्यकता को रेखांकित करती है।”
ये वे ऐप्स हैं जिनमें सिमेंटेक ने विश्वसनीयता देखी है, लेकिन और भी हो सकते हैं:
- तस्वीर सिलाई – पांच मिलियन से अधिक लोगों ने एंड्रॉइड के लिए इस कोलाज-संपादन ऐप को रेट किया है और दुर्भाग्य से इसमें हार्डकोडेड एडब्ल्यूएस क्रेडेंशियल शामिल हैं जो एक हमलावर को लिंक किए गए अमेज़ॅन एस 3 बकेट नाम, पढ़ने और लिखने की पहुंच कुंजी और गुप्त कुंजी सहित उत्पादन क्रेडेंशियल प्राप्त करने की अनुमति देगा।
- ढहना – यह iOS ऐप उपयोगकर्ताओं को मीठे व्यंजन प्राप्त करने में मदद करता है, लेकिन एक्सेस कुंजी और गुप्त कुंजी सहित डेवलपर्स के AWS सादे-पाठ क्रेडेंशियल्स को भी उजागर करता है। “इसके अलावा, कोड के भीतर एक वेबसॉकेट सिक्योर (डब्ल्यूएसएस) एंडपॉइंट का समावेश – wss://***.iot.us-west-2.amazonaws.com – एक महत्वपूर्ण सुरक्षा निरीक्षण पर प्रकाश डालता है,” शोधकर्ताओं ने चेतावनी दी।
- यूरेका – लगभग 500,000 ऐप्पल और एंड्रॉइड उपयोगकर्ताओं द्वारा रेट किए गए इस सर्वेक्षण लेने वाले ऐप में सीधे ऐप में एडब्ल्यूएस क्रेडेंशियल्स को हार्डकोड किया गया है और सादे पाठ में एक्सेस और गुप्त कुंजी संग्रहीत हैं।
- वीडियोशॉप – इस वीडियो एडिटर के कोड में अनएन्क्रिप्टेड AWS क्रेडेंशियल शामिल हैं जो बाइनरी वाले किसी व्यक्ति को डेटा चोरी करने, बैकएंड इंफ्रास्ट्रक्चर तक पहुंचने और संभावित रूप से इसे नीचे लाने की अनुमति देगा। इस ऐप को करीब 400,000 लोगों ने रेटिंग दी है.
- मेरु कैब्स – लगभग पांच मिलियन लोगों द्वारा उपयोग किए जाने वाले इस भारतीय टैक्सी-हेलिंग ऐप में हार्डकोडेड Azure क्रेडेंशियल उपलब्ध हैं जो क्लाउड स्टोरेज सेटअप तक पहुंच की अनुमति देगा।
- Sulekha Business – नेटवर्किंग और लीड जनरेटिंग ऐप के लगभग आधे मिलियन उपयोगकर्ता हैं और यह अपनी वेबसाइट पर काफी सुरक्षा प्रदान करता है। हालाँकि, सिमेंटेक के विश्लेषण से पता चलता है कि इसमें हमलावरों के लिए एक से अधिक हार्डकोडेड एज़्योर क्रेडेंशियल उपलब्ध हैं और एज़्योर ब्लॉब स्टोरेज कंटेनर तक पहुंचने के लिए सादे-पाठ कनेक्शन स्ट्रिंग का उपयोग करता है।
- रीसाउंड टिनिटस रिलीफ – लगभग 500,000 उपयोगकर्ताओं वाला यह साउंड थेरेपी ऐप, सुरक्षा विशेषज्ञ के कानों के लिए बिल्कुल संगीत नहीं है, क्योंकि यह भी अपने एज़्योर ब्लॉब स्टोरेज क्रेडेंशियल्स को इस तरह से एम्बेड करता है कि पहचानना आसान है। ऐसा ही होता है बेल्टोन टिनिटस शांत एंड्रॉइड पर ऐप, जिसके लगभग 100,000 उपयोगकर्ता हैं।
- ईटस्लीपराइड मोटरसाइकिल जीपीएस – इस फ़ोरम ऐप में हार्डकोडेड ट्विलियो क्रेडेंशियल्स शामिल हैं, जो इसके अनुमानित 100,000 उपयोगकर्ताओं को जोखिम में डालता है।
सिमेंटेक उपयोगकर्ताओं को इन कोडिंग त्रुटियों के किसी भी परिणाम को रोकने के लिए एक तृतीय-पक्ष सुरक्षा प्रणाली स्थापित करने की सलाह देता है, और – आश्चर्य, आश्चर्य – यह इस उद्देश्य के लिए एक है. उपयोगकर्ताओं को इस बात से भी सावधान रहना चाहिए कि उनके ऐप्स जो भी अनुमतियां मांगते हैं, उन्हें केवल विश्वसनीय स्रोतों से ही ऐप्स इंस्टॉल करना चाहिए।
या फिर डेवलपर्स बेहतर कोड लिख सकते हैं और AWS सीक्रेट्स मैनेजर या एज़्योर की वॉल्ट जैसी सेवाओं का उपयोग कर सकते हैं जो संवेदनशील जानकारी को सुरक्षित स्थान पर रखने के लिए डिज़ाइन की गई हैं। सिमेंटेक के शोधकर्ता भी हर चीज को एन्क्रिप्ट करने और नियमित कोड समीक्षा और सुरक्षा स्कैनिंग करने की सलाह देते हैं। ®