Stotine Android aplikacija izložene su „curenju“ sigurnosnih ključeva

Američka tvrtka za sigurnosna istraživanja Fallible otkrila je stotine Android aplikacija koje mogu podijeliti sigurnosne ključeve i tokene i time ih učiniti dostupnim hakerima. Stručnjaci spomenute kompanije proteklih su nekoliko mjeseci analizirali tisuće aplikacija kako bi otkrili sigurnosne propuste poput 'curenja' sigurnosnih ključeva. Oni često pripadaju vanjskim servisima i služe za integraciju aplikacija, a dođu li u krive ruke mogu se iskoristiti za manipulaciju servisima.

Iako većina od približno 16 tisuća testiranih aplikacija nema takvih sigurnosnih problema, u njih 300-injak lako se može doći do sigurnosnih ključeva. Među ugroženima se nalaze i neke od najpopularnijih kao što su Dropbox, Twitter i Slack. Stručnjaci upozoravaju kako curenje samo jednog tokena može izložiti vaše podatke cyber kriminalcima. Fallible je također objavio kako su tijekom ispitivanja pronašli deset instanci na kojima su sigurnosni ključevi Amazonovih web servisa bili ugrađeni u aplikacije, a neke od njih imaju dozvolu za kreiranje i brisanje.

Mnoge tehnološke tvrtke, posebice startupi, koriste Amazonov servis na kojem pohranjuju svoje aplikacije, sadržaje i korisničke podatke. Suosnivač Falliblea Abhishek Anand istaknuo je kako zloporaba tih ključeva može rezultirati zatvaranjem servisa i dovesti do curenja podataka. To bi moglo, upozorava, dovesti do milijunskih šteta. On je u e-mailu kojim se obratio javnosti naveo nekoliko konkretnih primjera koji mogu dovesti do curenja podataka korisnika te je ujedno napisao da u nekim slučajevima nije imalo smisla pohranjivati sigurnosne ključeve u aplikacijama.