반응형
기사 한줄요약('22.9.6.) :
시만텍이 1859개의 일반 사용자가 사용하는 안드로이드 앱과 iOS 앱을 조사한 결과 하드코딩된 AWS 크리덴셜과 토큰을 발견하였고 이 정보를 이용하면 기업 클라우드 내부에 접속이 가능하여 보안상 큰 문제가 드러났다.
77% : 비밀 AWS 클라우드 서비스 접근 가능
47% : 아마존 S3 버킷에 저장된 비밀 파일 수백만 개 열람 가능 토큰
- AWS 크리덴셜이 하드코딩된 이유
1) 대규모 미디어 파일을 클라우드에 업로드/다운로드
2) 인증에 필요한 개별 클라우드 서비스 활용
- 해당 크리덴셜의 위험도 :
기업 내 내부 파일, 인프라 파일, 각종 요소 백업 데이터 접근 가능
- 해결방법 :
크리덴셜을 앱에 하드코딩하는 대신 리포지터리나 SaaS 볼트에 대한 API 호출을 활용
문가용 기자, 안드로이드와 iOS 앱 수천 개에서 발견된 AWS 크리덴셜들, 보안뉴스,
https://m.boannews.com/html/detail.html?tab_type=1&idx=109652
안드로이드와 iOS 앱 수천 개에서 발견된 AWS 크리덴셜들
일반 사용자들이 사용하는 안드로이드 및 iOS 모바일 앱 수천 개에서 아마존 웹 서비스 크리덴셜이 하드코딩 된 채 발견됐다. 공격자들이 이 크리덴셜을 확보한다면 기업 클라우드 내부로 접속
m.boannews.com
반응형
