본문 바로가기

일상X사랑X돈/보안이슈

[보안이슈] 안드로이드 및 iOS 모바일 앱 수천개에서 AWS 크리덴셜 및 접근토큰이 하드코딩된 채로 발견

일반 사용자들이 사용하는 안드로이드 및 iOS 모바일 앱 수천개에서 AWS 크리덴셜이 하드코딩된 채 발견됐다.

이를 찾아낸 보안 업체 시만텍(Symantec)은 이 사건이 모바일 코드의 공급망이 가진 문제점을 고스란히 드러내고 있다 말했다.

 

찾아낸 AWS 크리덴셜과 접근 토큰들 중 77%는 비밀 AWS 클라우드 서비스에 접근 가능하게 해 주었고, 47%는 AWS S3 버킷에 저장된 비밀 파일 수백만 개를 열람할 수 있도록 해주는 접근 토큰이었다.

앱들을 만든 개발사나 개발자는 서로 달랐는데, 이는 수많은 개발자들이 같은 라이브러리와 SDK를 공유했다는 의미가 된다.

오픈소스 및 SDK의 문제라는 것.

 

하드코딩 되는 이유는 다양한데, 시만텍이 파악한 이유 중 가장 큰 것들은 다음과 같다.

1) 대규모 미디어 파일을 클라우드로부터 업로드/다운로드 하기 위해

2) 인증에 필요한 개별 클라우드 서비스를 활용하기 위해

 

어떤 iOS 앱에 포함된 AWS 토큰을 통해 각종 은행 및 금융앱과 연결된 인증데이터와 키에 접근할 수 있었다고 한다. 또한 사용자의 생체 디지털 지문 정보 30만 개와 각종 개인정보로 가는 통로가 되었다고 한다.

 

"하드코딩된 AWS 토큰이 있는 앱들은 심각한 위험을 초래하는 잘못된 앱이다. 그러나 매우 자주 나타나는 현상이기도 하다."

 

보안 업체 스택호크(StackHawk) CSO인 스콧 걸라흐 曰

출시 전 앱 점검을 통해 크리덴셜이 어딘가에 하드코딩 되어 있지 않은 지 살피고 꼼꼼하게 제거해야 한다.

 

DevSecOps 도구들을 개발 공정에 추가하여 지속적인 스캔을 실시하고, CI/CD도 같이 완성하면, 민감한 정보가 앱과 섞여 출시되는 사고를 적잖이 막을 수 있다. 또한 접근 토큰들을 안전하게 보호하는 방법론을 조직 전체에 적용할 필요도 있다.

크리덴셜을 앱에 하드코딩하는 대신, 리포지터리나 SaaS 볼트에 대한 API 호출을 활용하는 것도 좋은 방법이다.

 

 

해당 기사 링크 >> https://www.boannews.com/media/view.asp?idx=109652 

 

안드로이드와 iOS 앱 수천 개에서 발견된 AWS 크리덴셜들

일반 사용자들이 사용하는 안드로이드 및 iOS 모바일 앱 수천 개에서 아마존 웹 서비스 크리덴셜이 하드코딩 된 채 발견됐다. 공격자들이 이 크리덴셜을 확보한다면 기업 클라우드 내부로 접속

www.boannews.com