Сообщается, что приложения мобильного банкинга утекли тысячи цифровых отпечатков пальцев
2 сентября 2022 г.Согласно данным отчет исследователей Symantec.
Аутсорсинг компонента цифровой идентификации и аутентификации приложения – это по мнению исследователей, является общей схемой разработки, поскольку сложности обеспечения различных форм аутентификации могут создавать трудности для разработчиков приложений.
Но в данном случае этот подход резко провалился, поскольку в SDK банковских приложений были встроены Amazon Web Services ( AWS) облачные учетные данные, которые якобы могут раскрывать частные данные аутентификации и ключи, принадлежащие «каждому банковскому и финансовому приложению» с помощью SDK. .
Какова полная степень уязвимости?
Кроме того, с помощью уязвимого SDK исследователи смогли найти пользователей' биометрические цифровые отпечатки пальцев, которые использовались для аутентификации в облаке, наряду с личными данными, такими как имена и даты рождения.
Более того, если верить утверждениям Synametic, исследователи также, по-видимому, смогли раскопать источник API. код и модели искусственного интеллекта, используемые для всей базовой операции.
Но проблема не ограничивается пятью банковскими приложениями.
Исследователи заявили, что более 1859 общедоступных приложений, включая Android и iOS, в них содержались учетные данные AWS.
Хотя разработчики Android не совсем безупречны, исследование показало, что более 97% этих уязвимых приложений были созданы для iOS.
Из этих приложений более трех четвертей (77 %) из них содержали действительные токены доступа AWS, обеспечивающие доступ к частным облачным сервисам AWS, а 47 % содержали действительные токены AWS, которые также предоставляли полный доступ к многочисленным, часто миллионам, частных файлов через Amazon Simple Storage Service ( Амазон S3).
Как я могу предотвратить это?
Исследователи предоставили несколько советов о том, как смягчить эти типы уязвимостей.
К ним относятся добавление решений для сканирования безопасности в жизненный цикл разработки приложения и, при использовании стороннего поставщика, запрос и проверка «табель успеваемости» мобильных приложений, которые, по их словам, могут выявлять любое нежелательное поведение приложения или уязвимости для каждого выпуска. мобильного приложения.
Исследователи, как разработчик приложений, предложили найти табель успеваемости, который одновременно сканирует SDK и платформы в вашем приложении и определяет источник любых уязвимостей или нежелательного поведения.
- Хотите убедиться, что ваша личность не раскрыта? Ознакомьтесь с нашим руководством по лучшей лучшей защите от кражи удостоверений личности
Оригинал