محققان دریافتند برنامههای تلفن همراه حاوی کلیدهایی هستند که میتوانند هم به اطلاعات کاربر و هم به فایلهای خصوصی برنامههای غیرمتصل دسترسی داشته باشند.
جی پلاس، برنامههای تلفن همراه مانند هر نرم افزار دیگری، میتوانند مجموعهای از مسائل امنیتی و قرار گرفتن در معرض تهدید را ایجاد کنند، از برنامههای سرکش که عمدتا مخرب هستند تا برنامههایی که حاوی یک نقص مبهم، اما قابل توجه هستند. اکنون تحقیقات جدید، نظارتهای سیستمی در زیرساختهای ابری اپلیکیشنهای تلفن همراه را روشن میکند که بسیار رایج هستند و این خطر را ایجاد میکنند که دادههای کاربران در جایی که نباید به بیرون درز کند یا به خطر بیفتد.
باشگاه خبرنگاران جوان نوشت؛ پژوهشگران به تازگی یافتههایی را در مورد شیوع اعتبارنامههای احراز هویت سخت کدگذاری شده در کمین سرویسهای ابری که زیربنای صدها برنامه اصلی هستند، منتشر کردند. این اعتبارنامههای ورود به سیستم اغلب برای دسترسی برنامه به یک فایل یا سرویس است، مانند مکانیزمی برای یک برنامه با هدف نمایش تصاویر عمومی از وبسایت شرکت یا اجرای متن از طریق یک سرویس ترجمه به درخواست کاربر، اما در عمل محققان دریافتند همین اعتبارنامهها اغلب به همه فایلهای ذخیرهشده در یک سرویس ابری مانند دادههای شرکت، پشتیبانگیری از پایگاه داده و اجزای کنترل سیستم اجازه دسترسی میدهند و هنگامی که چندین برنامه توسط یک شرکت توسعه شخص ثالث ایجاد شده است یا همان کیتهای توسعه نرم افزار (SDK) در دسترس عموم را در خود جای داده است، این توکنهای احراز هویت استاتیک ممکن است حتی به زیرساخت و دادههای کاربر چندین برنامه غیر مرتبط دسترسی داشته باشند.
همه اینها به این معنی است که اگر مهاجم این توکنهای دسترسی را کشف کند، به طور بالقوه میتواند با پیدا کردن یک کلید زیر یک درب، مجموعهای از دادههای حساس را باز کند.
ابر هنوز به نوعی مرز جدیدی است. دیک اوبراین میگوید: گاهی اوقات وقتی در مورد شیوههایی که استفاده میشود میشنوید، متوجه میشوید که بسیاری از سازمانها ممکن است در زمینههای دیگر در جایی که هستند در امنیت نباشند. سخت است که بگوییم آیا این افراد در حال قطع کردن هستند یا اینکه این صرفا ناآگاهی از چیزی است که شما با قرار دادن آن اعتبارنامهها در آنجا افشا میکنید، اما مسلما بدیهی است که دادهها در جایی نزدیک به آن چیزی که باید محصور نمیشوند.
محققان ۱۸۵۹ برنامه در دسترس عموم را در اندروید و iOS پیدا کردند که حاوی اطلاعات رمزگذاری شده خدمات وب آمازون بودند. اکثریت قریب به اتفاق برنامههای iOS بودند، اعتبارنامههای موجود در بیش از سه چهارم برنامهها به سرویسهای ابری خصوصی دسترسی داشتند و تقریبا نیمی از آنها به فایلهای خصوصی نیز دسترسی دارند. پنجاه و سه درصد از برنامهها حاوی نشانههای دسترسی بودند که در برنامههای دیگر، اغلب کاملا نامرتبط، نیز یافت میشد.
اوبراین میگوید: در ابتدا بسیار تعجب آور بود، اما این یک چیز سیستمی است. مردم باید یک ممیزی کامل از آنچه استفاده میکنند، انجام دهند و متوجه شوند که چندین لایه در آنجا وجود دارد. اعتبارنامههای موقتی که پس از مدت کوتاهی منقضی میشوند، احتمالا راهگشا هستند و باید آگاهی بیشتری در مورد نیاز به ذخیره اطلاعات وجود داشته باشد.
توسعهدهندگان اپلیکیشنها را در جایی که بیشترین مشکلات را میبیند، مطلع کرده است؛ امید است آگاهی را در مورد اینکه چگونه شیوههای توسعه ناامن و منابع مشترک میتوانند بدون بررسی دقیق و تقسیمبندی، ایجاد نوردهی کنند، افزایش یابد.