1 INTRODUCCIÓN...............................................................................................................
0
500000
1000000
1500000
2010 2011 2012 2013 2014
NºTOTALDEAPPS
AÑO
Nº TOTAL DE APPS POR MARKET
Apple Store
Google Play
Am...
,
# Fill in your AWS Access Key ID and Secret Access Key
# http://aws.amazon.com/security-credentials
#!!!!!!!!!!!!!!!!!!!...








7%
93%
Disponibilidad en los markets de las
apps analizadas
No disponibles Disponibles




58,7
41,3
AWS access key distintas
encontradas
Operativas (37) No operativas (26)
0
2
4
6
8
10
12
14
16
Compartici...
22
15
Número total de access key operativos
Credenciales que permiten full control Permiten escritura
Estudio de sobreexposición de credenciales de Amazon en aplicaciones móviles
Estudio de sobreexposición de credenciales de Amazon en aplicaciones móviles
Estudio de sobreexposición de credenciales de Amazon en aplicaciones móviles
Próxima SlideShare
Cargando en…5
×

Estudio de sobreexposición de credenciales de Amazon en aplicaciones móviles

2.148 visualizaciones

Publicado el

Cada vez es más frecuente el desarrollo de aplicaciones móviles que interactúan con servicios comunes en entornos de movilidad como Amazon Simple Storage Service (S3), Amazon Simple Notification Service (SNS), Amazon Simple Queue Service (SQS) o Amazon Mobile Analytics.
Para interactuar con estos servicios, las apps necesitan comunicarse con ellos y autenticarse con algún tipo de credencial (habitualmente basada en tokens). Hemos identificado prácticas de programación inseguras en forma de gestión incorrecta de credenciales de acceso, que podrían permitir a un atacante modificar el comportamiento de las apps afectadas.

Publicado en: Tecnología
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
2.148
En SlideShare
0
De insertados
0
Número de insertados
770
Acciones
Compartido
0
Descargas
5
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Estudio de sobreexposición de credenciales de Amazon en aplicaciones móviles

  1. 1. 1 INTRODUCCIÓN.......................................................................................................................................3 1.1 GESTIÓN DE IDENTIDADES EN AMAZON AWS ..................................................................................................3 2 IDENTIFICANDO EL PROBLEMA................................................................................................................4 3 ANÁLISIS DE LOS DATOS..........................................................................................................................6 4 ESCENARIOS DE ATAQUE E HIPÓTESIS.....................................................................................................8 5 CONCLUSIONES Y RECOMENDACIONES...................................................................................................9
  2. 2. 0 500000 1000000 1500000 2010 2011 2012 2013 2014 NºTOTALDEAPPS AÑO Nº TOTAL DE APPS POR MARKET Apple Store Google Play Amazon Appstore
  3. 3. , # Fill in your AWS Access Key ID and Secret Access Key # http://aws.amazon.com/security-credentials #!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! # This sample App is for demonstration purposes only. # It is not secure to embed your credentials into source code. #!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! accessKey=AKIAJZUGBMWUTJOS2A secretKey=0OvgWIKJ3EnsmSSpw1HPzV3VgWA643LCBTfPHW+
  4. 4.  
  5. 5.       7% 93% Disponibilidad en los markets de las apps analizadas No disponibles Disponibles
  6. 6.     58,7 41,3 AWS access key distintas encontradas Operativas (37) No operativas (26) 0 2 4 6 8 10 12 14 16 Compartición de access keys por differentes apps
  7. 7. 22 15 Número total de access key operativos Credenciales que permiten full control Permiten escritura

×