Se ha denunciado esta presentación.
Utilizamos tu perfil de LinkedIn y tus datos de actividad para personalizar los anuncios y mostrarte publicidad más relevante. Puedes cambiar tus preferencias de publicidad en cualquier momento.

Estudio de sobreexposición de credenciales de Amazon en aplicaciones móviles

2.324 visualizaciones

Publicado el

Cada vez es más frecuente el desarrollo de aplicaciones móviles que interactúan con servicios comunes en entornos de movilidad como Amazon Simple Storage Service (S3), Amazon Simple Notification Service (SNS), Amazon Simple Queue Service (SQS) o Amazon Mobile Analytics.
Para interactuar con estos servicios, las apps necesitan comunicarse con ellos y autenticarse con algún tipo de credencial (habitualmente basada en tokens). Hemos identificado prácticas de programación inseguras en forma de gestión incorrecta de credenciales de acceso, que podrían permitir a un atacante modificar el comportamiento de las apps afectadas.

Publicado en: Tecnología
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Estudio de sobreexposición de credenciales de Amazon en aplicaciones móviles

  1. 1. 1 INTRODUCCIÓN.......................................................................................................................................3 1.1 GESTIÓN DE IDENTIDADES EN AMAZON AWS ..................................................................................................3 2 IDENTIFICANDO EL PROBLEMA................................................................................................................4 3 ANÁLISIS DE LOS DATOS..........................................................................................................................6 4 ESCENARIOS DE ATAQUE E HIPÓTESIS.....................................................................................................8 5 CONCLUSIONES Y RECOMENDACIONES...................................................................................................9
  2. 2. 0 500000 1000000 1500000 2010 2011 2012 2013 2014 NºTOTALDEAPPS AÑO Nº TOTAL DE APPS POR MARKET Apple Store Google Play Amazon Appstore
  3. 3. , # Fill in your AWS Access Key ID and Secret Access Key # http://aws.amazon.com/security-credentials #!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! # This sample App is for demonstration purposes only. # It is not secure to embed your credentials into source code. #!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! accessKey=AKIAJZUGBMWUTJOS2A secretKey=0OvgWIKJ3EnsmSSpw1HPzV3VgWA643LCBTfPHW+
  4. 4.  
  5. 5.       7% 93% Disponibilidad en los markets de las apps analizadas No disponibles Disponibles
  6. 6.     58,7 41,3 AWS access key distintas encontradas Operativas (37) No operativas (26) 0 2 4 6 8 10 12 14 16 Compartición de access keys por differentes apps
  7. 7. 22 15 Número total de access key operativos Credenciales que permiten full control Permiten escritura

×