AWS, Azure auth kulcsok az Android és iOS alkalmazásokban
Több népszerű iOS és Android mobilalkalmazás hardcoded, titkosítatlan hitelesítő adatokkal rendelkezik olyan felhőszolgáltatásokhoz, mint az Amazon Web Services (AWS) és a Microsoft Azure Blob Storage, ami kiteszi a felhasználói adatokat és a forráskódot a biztonsági incidenseknek. Az ilyen típusú hitelesítő adatok felfedése könnyen vezethet az érzékeny felhasználói adatokat tartalmazó tárolókhoz és adatbázisokhoz való jogosulatlan hozzáféréshez. A Broadcom vállalathoz tartozó Symantec jelentése szerint ezek a kulcsok a fejlesztési fázisban elkövetett hibák és rossz gyakorlatok miatt vannak jelen az alkalmazások kódbázisában.
Bár az Apple App Store nem közli a letöltések számát, a letöltések száma általában sokkal magasabb, mint a felsorolt értékelések száma, ami szintén magas a vizsgált alkalmazások esetében. A Google a Play Store-ban az alkalmazás élettartamára vonatkozó összes letöltés számát jeleníti meg, és nem az aktív telepítéseket tükrözi. 2022 szeptemberében a Symantec már jelezte, hogy kutatói több mint 1800 iOS és Android alkalmazást találtak, amelyek AWS hitelesítő adatokat tartalmaztak, az alkalmazások 77%-ának kódbázisában érvényes hozzáférési tokenek voltak. A kutatók azt javasolják a fejlesztőknek, hogy kövessék a legjobb gyakorlatokat az érzékeny információk védelmére a mobilalkalmazásokban. Ezek közé tartozik a környezeti változók használata a hitelesítő adatok tárolására, a secret management eszközök (pl. AWS Secrets Manager, Azure Key Vault) használata, az adatok titkosítása, a rendszeres kódellenőrzések és auditok, valamint az automatikus biztonsági ellenőrzés integrálása a fejlesztési folyamat korai szakaszában az érzékeny adatok vagy biztonsági problémák észlelésére.
