304 apps lækker fortrolige nøgler til web-tjenester

304 ud af 16.000 apps til Android indeholder oplysninger om fortrolige nøgler i kildekoden. Angribere kan misbruge nøglerne til at få adgang til web-tjenester.

I november lancerede sikkerhedsfirmaet Fallible et gratis online værktøj til at analysere apps til Android. Siden da har firmaet selv og andre brugere anvendt værktøjet til at analysere godt 16.000 apps.

Analysen ser blandt andet på, om appen indeholder nøgler eller andre fortrolige oplysninger. Det gjorde godt 2.500 apps. Mange af nøglerne er dog harmløse og kan ikke misbruges.

304 apps indeholdt nøgler, som giver adgang til API'erne (Application Programming Interface) hos en række webtjenester. Blandt de berørte tjenester var Twitter, Instagram og Uber.

For eksempel var der nøgler, der giver adgang til AWS (Amazon Web Services). Nogle af dem havde privilegier til at oprette og slette virtuelle maskiner på cloud-platformen.

Angribere kan udnytte lagrede nøgler og andre hemmeligheder til at tilgå tjenesterne som de apps, nøglerne ligger i.

Anbefaling

Udviklere af apps bør undgå at indlejre nøgler og andre hemmeligheder i kildekoden.

Links