网络安全组织赛门铁克(Symantec)正在发出警报,因为数百万人的私人信息可以很容易地通过几个应用程序(主要是运行 iOS 的应用程序)访问。
该问题特别是由于重复使用有效的 Amazon Web Services (AWS) 令牌而引起的。这将授予访问大量信息的权限。
硬编码的 Amazon Web Services 令牌的重复使用已被确定为 1,859 个应用程序中的一个严重安全漏洞,其中 98% 是基于 iOS 的。事实上,我们发现在赛门铁克测试的 53% 的应用程序中重复使用了相同的 AWS 凭证。十倍增加了这些数据的危险。对于赛门铁克来说,问题源于供应链,尤其是在使用软件开发工具包 (SDK)开发应用程序时。
ANDROID 和 IOS 应用程序存在数据泄露风险
据该公司称,如果 AWS 代码仅允许访问 Amazon Simple Storage Service (S3) 中存在的单个文件,则该漏洞是有限的,但在这种情况下并非如此。其中一个实例是 B2B 公司的 SDK。除了其平台外,客户还可以访问公司的所有云基础设施密钥。挂牌的大中型企业达15000多家。赛门铁克声称,有关客户和员工的信息以及财务记录可能会意外地成为泄密对象。
根据赛门铁克的说法,“为了访问 AWS 翻译服务,企业已经硬编码了 AWS 访问令牌。然而,任何拥有硬编码访问令牌的人都可以完全、不受限制地访问 B2B 企业的所有 AWS 云服务,而不仅仅是翻译云服务。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时候联系我们修改或删除,多谢