CONOCIMIENTO pertenece al mundo
En algunos casos, los secretos no modificables podrían permitir a un atacante robar o borrar datos.
Una firma de investigación de seguridad ha encontrado cientos de aplicaciones de Android que se están escapando claves secretas sensibles y fichas, que podría ser usado y abusado por los piratas informáticos.
Falibles, una empresa de seguridad con sede en Delaware, pasó los últimos meses ingeniería inversa miles de aplicaciones para descubrir los problemas de seguridad, como las claves secretas que gotean. Estas teclas suelen pertenecer a los servicios de terceros para ayudar a la integración de aplicaciones, pero si filtrado se podrían utilizar para manipular o abusar de los servicios.
La compañía reportó sus resultados durante el fin de semana.
Mientras que la mayor parte de las 16.000 aplicaciones que examinaron no dejar escapar nada de llaves, un poco más de 300 aplicaciones contenidas encontrar fácilmente-teclas codificados de forma rígida para servicios como Dropbox, Twitter, y Slack.
Una pérdida de símbolo único podría dar lugar a la exposición de datos. Apenas el año pasado, otra firma de seguridad encontraron más de 1.500 fichas para Slack utilizado por las grandes empresas, incluidas las empresas de Internet y proveedores de atención médica.
Falibles también confirmó que halló diez casos en los que las claves secretas de Servicios Web de Amazon se hardcodeada en las aplicaciones.
"Algunos de ellos tenían plena privilegio de crear [y] la supresión de los casos", dijo el blog.
Muchas de las nuevas empresas de Silicon Valley y unicornios mil millones de dólares utilizar Amazon Web Services para alojar sus aplicaciones, datos de contenido y usuario. Abhishek Anand, co-fundador de falible, dijo en un correo electrónico que abusar de las claves podría ser utilizado para "servicios de apagado y dar lugar a fugas de datos y la destrucción."
Eso podría llevar a millones de dólares de tiempo de inactividad - si no peor.
"Hemos encontrado recientemente una nueva empresa de transporte unicornio usando Zendesk fuga de su secreto API y que puede ser utilizado para filtrar los datos de usuario para todos sus clientes, incluyendo correos electrónicos de apoyo y charlas, números de teléfono, datos personales y más", dijo Anand, aunque no nombró la compañia.
En otros casos, dijo que "no tenía sentido" mantener ciertas claves secretas en la aplicación, tales como bases de datos y correo de credenciales.
El consejo es bastante simple. Piense dos veces antes de usar llaves codificadas de forma rígida.
"Cada vez que hardcode cualquier símbolo de clave API [o] en la aplicación, pensar mucho si usted realmente necesita para codificar esto," la entrada en el blog lee. "Comprender el uso del API y el alcance de lectura-escritura de las fichas antes ponerlo en las aplicaciones."
Fuente: http: //www.zdnet.com/
CONOCIMIENTO pertenece al mundo
No hay comentarios:
Publicar un comentario