Las credenciales codificadas se encuentran comúnmente en el código fuente y se refieren al acto de incrustar “contraseñas de texto sin formato” u otra “información confidencial” directamente en una aplicación.
El compromiso de las credenciales codificadas permite el acceso no autorizado a múltiples sistemas y dispositivos que comparten la misma contraseña predeterminada, lo que genera vulnerabilidades generalizadas y posibles ataques cibernéticos.
Los investigadores de ciberseguridad de Symantec descubrieron recientemente que las credenciales codificadas en aplicaciones populares están poniendo en riesgo a millones de usuarios de Android e iOS.
Desafío cibernético del Mes Nacional de Concientización sobre la Ciberseguridad: pruebe sus habilidades ahora
Credenciales codificadas para aplicaciones populares
Las aplicaciones móviles integradas con credenciales de servicios en la nube codificadas representan una importante vulnerabilidad de seguridad en el ecosistema digital actual, como lo demuestran algunas aplicaciones populares como:
Pic Stitch (más de 5 millones de descargas) Crumbl (más de 3,9 millones de calificaciones) Eureka: Gana dinero con encuestas (402,1 mil calificaciones) Videoshop – Editor de video (357,9 mil calificaciones)
Las aplicaciones populares mencionadas anteriormente expusieron las credenciales de AWS, como “claves de acceso” y “claves privadas”, directamente en su código fuente.
Aplicaciones en la App Store (Fuente: Symantec)
Estas aplicaciones incluyen “credenciales de acceso al depósito AWS S3 no cifradas”, “puntos finales de servicio de IoT” (como “URL segura de WebSocket: “wss://”) y “Microsoft Azure Blob en su base de código”. Implementó una práctica insegura al almacenar “Almacenamiento”. tokens de autenticación”. Esto lo hace vulnerable a la explotación mediante “análisis binario” e “inspección del código fuente”.
Por ejemplo, el método “loadAmazonCredential()” de Pic Stitch y la implementación “AWSStaticCredentialsProvider” de Crumbl expusieron credenciales de nivel de producción que permitían el acceso no autorizado a servicios backend, pero Eureka demostró una supervisión de seguridad similar en la inicialización del objeto “INMAWSCredentials”.
Esta práctica generalizada de codificar credenciales en la nube sin cifrado ni medidas de seguridad adecuadas pone los datos de millones de usuarios en riesgo de “robo”, “manipulación” y “acceso no autorizado”.
Esto daría lugar a una importante brecha de seguridad que afectaría tanto a la privacidad del usuario como a la integridad de la infraestructura de las aplicaciones en las plataformas Google Play Store y Apple App Store.
Esta vulnerabilidad crítica está relacionada con el manejo incorrecto de las credenciales de 'Microsoft Azure Blob Storage' mediante técnicas de codificación.
La investigación encontró que aplicaciones populares como 'Meru Cabs' (más de 5 millones de descargas), 'Sulekha Business' (más de 500.000 descargas), 'ReSound Tinnitus Relief' (más de 500.000 descargas), revelaron que una “cadena de conexión no cifrada” y la “clave de cuenta” estaban integradas. Puede obtener acceso directo a los archivos binarios y al código fuente de la aplicación, lo que supone un grave riesgo de seguridad.
Aplicaciones de Google Play Store (Fuente: Symantec)
En el caso de “Meru Cabs”, el “Servicio UploadLogs” incluía credenciales de Azure en texto sin formato, mientras que para “Sulekha Business”, se incluyeron “Post-Creación”, “Facturación” y “Almacenamiento de perfil de usuario”.
De manera similar, 'ReSound Tinnitus Relief' expuso las credenciales de 'Azure Blob Storage' utilizadas para administrar 'Activos de audio' y 'Archivos de sonido'.
Esta práctica generalizada de incrustar credenciales de servicios en la nube no cifradas puede ser potencialmente extraída por atacantes maliciosos con acceso a los archivos binarios o al código fuente de estas aplicaciones. Esto tiene graves implicaciones de seguridad.
En este punto, puede provocar un “acceso no autorizado” a “recursos confidenciales de almacenamiento en la nube”, una “violación de datos” y un “compromiso de la infraestructura backend”.
Este patrón de vulnerabilidad abarca plataformas iOS y Android, donde los desarrolladores comprometen la seguridad al codificar credenciales de autenticación para servicios en la nube en lugar de implementar un “sistema de administración de credenciales seguro”. Esto resalta un problema sistémico en las prácticas de desarrollo de aplicaciones móviles.
medidas de mitigación
Todas las mitigaciones se describen a continuación. –
Usar variables de entorno Implementar administración de secretos Cifrar datos confidenciales Automatizar revisiones y auditorías de código Automatizar análisis de seguridad Mantener el software actualizado No descargar aplicaciones de fuentes desconocidas Instalar aplicaciones de seguridad adecuadas Siempre preste mucha atención a los permisos que solicita una aplicación Asegúrese de realizar copias de seguridad importantes datos frecuentemente
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Mírelo aquí
