有名クラウドへの クレデンシャル 、各種モバイルアプリで拡散

セキュリティメディアBleeping Computerによると、AWSとAzureという巨大な公共クラウドの認証キーがアンドロイドとiOSのアプリで複数発見されたそうです。クラウド連携のアプリを作って提供する過程の間、 クレデンシャル や認証キーの情報をコードの中に入れたまま忘れたとき、このようなことがしばしば起こります。これを誰かが見つけると、そのアプリのユーザー情報とソースコード等、敏感な情報にアクセスできるようになります。Google PlayではPic Stitch、Meru Cabs、Sulekha Business等のアプリが、AppStoreではCrumbl、Eureka、Videoshop等のアプリがこの問題に脆弱な状態です。それらアプリのダウンロード回数を合わせると、数千万回を超えています。

クレデンシャル をハードコーディングしたままソフトウェアをリリースする場合は非常に多いです。開発の過程でいろんな理由で クレデンシャル をコードの中に入れといて作業をしますが、そこまでは十分容認できます。問題は、開発が完了されてからです。開発完了後にリリースする前には、コードに保存されている クレデンシャル の情報を消す必要がありますが、これを忘れるのです。GitHubに共有されるオープンソースのコードにもこのような情報が結構多いと知られています。

Symantecは、「誰かがアプリのソースコードにさえアクセスできるようになったら、 クレデンシャル を自由に悪用できます。コード内に クレデンシャル を入力していたら、それを厳しく管理する必要があります。」と述べました。