Milhares de aplicações do iOS contam com tokens da AWS no seu código fonte
Se é programador, certamente sabe que nunca é boa ideia deixar chaves de acesso para APIs publicamente acessíveis. No entanto, ainda existe um elevado número de programadores que o fazem, sobretudo em apps para iOS e Android.
Os investigadores da empresa de segurança Symantec decidiram avaliar dados mais concretos, e descobriram que uma amostra com mais de 1859 aplicações possuem códigos de acesso a plataformas da AWS (Amazon) integradas diretamente no código fonte das mesmas.
Destas aplicações, a grande maioria será do iOS, com apenas 37 respeitantes ao Android.
As aplicações continham no seu código fonte chaves de acesso a sistemas do AWS, que sobre as mãos erradas, poderiam permitir o acesso a diversa informação sensível armazenada nesses sistemas – o que pode incluir informação dos utilizadores das apps.
Os investigadores afirmam ainda que, pelo menos 874 dessas aplicações tinham acessos integrados em tokens que, se acedidas, podem permitir o acesso a bases de dados com milhões de registos de utilizadores diferentes.
Estas bases de dados possuem os mais variados dados, entre nomes, emails, senhas encriptadas e outras informações sensíveis.
Os investigadores acreditam que as chaves de autenticação foram deixadas no código fonte das aplicações seja por esquecimento dos programadores, que não removeram ou encriptaram esse conteúdo, ou simplesmente porque é mais simples de se realizar o acesso no código por esse formato.
Apesar de o código fonte de uma aplicação não ser algo facilmente acessível, utilizadores com conhecimentos mais avançados podem rapidamente obter o mesmo de qualquer aplicação. Como tal, torna-se bastante importante que este género de chaves e tokens não sejam deixados no mesmo.