ハードコードされたAWSやAzure等の認証情報がAndroid/iOS向け人気アプリ内で見つかる
BleepingComputer – October 22, 2024
AndroidやiOS向けの人気アプリのいくつかが、コードベース内にクラウドサービスの認証情報を保有しているのが見つかったと、Symantecが報告。これらの認証情報はハードコードされており、暗号化はなされていないという。
Symantecによれば、認証情報が見つかったGoogle Play上のアプリは以下の通り。なおダウンロード数はアクティブインストール数ではなく、リリースから現在までの合計ダウンロード数とされる。
- Pic Stitch – ハードコードされたAmazonの認証情報を含む、ダウンロード数は500万回超
- Meru Cabs – ハードコードされたMicrosoft Azure Blob Storageの認証情報を含む、ダウンロード数は500万回超
- Sulekha Business – ハードコードされたMicrosoft Azure Blob Storageの認証情報を含む、ダウンロード数は50万回超
- ReSound Tinnitus Relief – ハードコードされたMicrosoft Azure Blob Storageの認証情報を含む、ダウンロード数は50万回超
- Saludsa – ハードコードされたMicrosoft Azure Blob Storageの認証情報を含む、ダウンロード数は10万回超
- Chola Ms Break In – ハードコードされたMicrosoft Azure Blob Storageの認証情報を含む、ダウンロード数は10万回超
- EatSleepRIDE Motorcycle GPS – ハードコードされたTwilioの認証情報を含む、ダウンロード数は10万回超
- Beltone Tinnitus Calmer – ハードコードされたMicrosoft Azure Blob Storageの認証情報を含む、ダウンロード数は10万回超
また、アップルのApp Store上のアプリは以下の通り。App Storeではダウンロード数が公表されていないが、レーティング数よりも大幅に多いのが一般的とされる。
- Crumbl – ハードコードされたAmazonの認証情報を含む、レーティング数は390万件超
- Eureka: Earn money for surveys – ハードコードされたAmazonの認証情報を含む、レーティング数は40万2,100件超
- Videoshop – ビデオエディタ– ハードコードされたAmazonの認証情報を含む、レーティング数は35万7,900件超
- Solitaire Clash: Win Real Cash – ハードコードされたAmazonの認証情報を含む、レーティング数は24万4,800件超
- Zap Surveys – Earn Easy Money – ハードコードされたAmazonの認証情報を含む、レーティング数は23万5,000件超
上記いずれかのアプリがデバイスにインストールされていたとしても、必ずしも個人データが盗まれているというわけではない。ただ、これらのアプリのバイナリまたはソースコードにアクセスできる者であれば、誰もがこれらの認証情報を抽出し、悪用できる可能性があるとのこと。この状況は、アプリ開発者らがアクションを起こさない限り変わらないものとみられる。
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠