Broadcom Symantec Threat Hunter 연구팀이 아마존 웹 서비스(AWS: Amazon Web Services) 자격 증명을 통해 프라이빗 클라우드에 접근할 수 있는 하드코딩된 1859개의 모바일 앱을 발견했다.
전문가들은 하드코딩된 앱의 98%가 iOS라고 지적했다. 또한 발견된 앱의 47%에는 클라우드의 백업 및 아마존 S3 버킷을 포함한 모든 개인 파일에 대한 액세스 권한을 부여하는 유효한 AWS 토큰을 포함하고 있다.
Broadcom Symantec 연구팀은 “77% 앱에는 프라이빗 AWS 클라우드 서비스에 대한 액세스를 허용하는 AWS 액세스 토큰이 있으며, 47%에는 Amazon Simple Storage Service(Amazon S3)를 통해 수백만 개의 개인 파일에 대한 전체 액세스 권한을 부여하는 유효한 AWS 토큰이 포함돼 있다"라고 설명했다.
또한 연구팀은 앱의 53%가 동일한 팀이나 기업에서 개발한 다른 앱에서 볼 수 있는 것과 동일한 AWS 액세스 토큰을 사용하고 있음을 발견했다.
또한 연구원들은 고객에게 모바일 소프트웨어 개발 키트(SDK)를 제공하는 인트라넷 및 통신 플랫폼을 제공하는 익명의 B2B 회사와 같은 일부 사례 연구에 대한 세부 정보도 제공했다. 핵심은 SDK에 번역 서비스에 액세스하는데 사용되는 클라우드 인프라 키가 포함돼 있다는 것이다.
이 문제로 1만 5000개 이상의 중대형 기업의 인트라넷에서 사용되고 있는 기업 데이터, 재무 기록, 직원의 개인 데이터가 노출됐다.
또한 동일한 클라우드 자격 증명을 포함하는 동일한 타사 AI 디지털 ID SDK를 사용해 전체 인프라를 위협하는 iOS 뱅킹 앱도 발견했다.
자격 증명은 일반적으로 앱 기능에 필요한 적절한 리소스를 다운로드하고 구성 파일에 액세스하고 다른 클라우드 서비스에 인증하는데 사용된다.
전문가들은 다른 회사에 의존하는 온라인 게임 기술 플랫폼에 대해서도 설명했다. 또한 취약한 라이브러리를 사용해 모든 AWS 클라우드 서비스에서 전체 인프라 및 클라우드 서비스에 접근하는 16개의 다른 온라인 도박 앱도 발견했다. 이 앱들을 통해 해커는 전체 읽기/쓰기 루트 계정 자격 증명을 얻을 수 있다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
