Aplicativos móveis que expõem chaves da AWS afetam os dados de mais de 100 milhões de usuários

A Amazon Web Services (AWS) é a plataforma de computação em nuvem preferida para empresas, pequenas empresas e até governos em todo o mundo. Da NASA à Netflix, os serviços e APIs da AWS são usados por milhões de empresas para suas necessidades de infraestrutura, requisitos de hospedagem e para habilitar seus sites e aplicativos móveis. É por isso que os agentes de ameaças estão constantemente procurando maneiras de comprometer os serviços da AWS de uma empresa para obter informações confidenciais, dados de usuários e redes internas.

No mês passado, mais de 10.000 aplicativos foram enviados para o BeVigil da CloudSEK, um mecanismo de busca de segurança para aplicativos móveis, para análise. Desses, descobrimos que mais de 40 aplicativos, com mais de 100 milhões de downloads, têm chaves privadas da AWS codificadas. Como existem mais de 8 milhões de aplicativos disponíveis nas lojas de aplicativos, estimamos que existem milhares de aplicativos móveis expondo as chaves da AWS. Com muitos desses aplicativos atendendo a milhões de usuários, é necessário que haja uma ampla conscientização sobre os riscos envolvidos.