کلیدهای احراز هویت AWS و Azure در برنامه‌های Android و iOS که توسط میلیون‌ها نفر استفاده می‌شوند، پیدا شده‌اند.

چندین برنامه ی محبوب موبایلی برای iOS و Android دارای اعتبارنامه‌های سخت‌افزاری و بدون رمزگذاری برای خدمات ابری مانند خدمات وب آمازون (AWS) و فضای ذخیره‌سازی Blob مایکروسافت آژور هستند که این موضوع باعث در معرض خطر قرار گرفتن داده‌های کاربران و کد منبع به نقض‌های امنیتی می‌شود.

افشای این نوع اعتبارنامه‌ها می‌تواند به‌راحتی منجر به دسترسی غیرمجاز به سطل‌های ذخیره‌سازی و پایگاه‌های داده‌ای شود که حاوی داده‌های حساس کاربران هستند. علاوه بر این، یک مهاجم می‌تواند از آن‌ها برای دستکاری یا سرقت داده‌ها استفاده کند.

بر اساس گزارشی از Symantec، وجود کلیدهای امنیتی در کد برنامه‌ها به خاطر اشتباهات و روش‌های نادرست در فرایند توسعه نرم‌افزار است.

Symantec توضیح می‌دهد : تحلیل‌های اخیر یک روند نگران‌کننده را آشکار کرده است: چندین برنامه ی پرکاربرد پیدا شده‌اند که دارای اعتبارنامه‌های سخت‌افزاری و بدون رمزگذاری برای خدمات ابری در کدهای خود هستند.

محققان امنیتی توضیح می دهند : این شیوه ی خطرناک به این معنی است که هر کسی که به باینری یا کد منبع برنامه دسترسی داشته باشد، می‌تواند به‌طور بالقوه این اعتبارنامه‌ها را استخراج کرده و از آن‌ها سوءاستفاده کند تا داده‌ها را دستکاری یا خارج کند، که منجر به نقض‌های امنیتی شدید می‌شود.

Symantec می‌گوید که محققان آن، اعتبارنامه‌های مربوط به خدمات ابری را در برنامه‌های زیر در فروشگاه Google Play پیدا کرده‌اند:

• Pic Stitch – بیش از ۵ میلیون دانلود – اعتبارنامه‌های سخت‌افزاری آمازون.
• Meru Cabs – بیش از ۵ میلیون دانلود – اعتبارنامه‌های سخت‌افزاری مربوط به فضای ذخیره‌سازی Blob مایکروسافت Azure
• Sulekha Business – بیش از ۵۰۰ هزار دانلود – اعتبارنامه‌های سخت‌افزاری مربوط به فضای ذخیره‌سازی Blob مایکروسافت Azure
• ReSound Tinnitus Relief – بیش از ۵۰۰ هزار دانلود – اعتبارنامه‌های سخت‌افزاری مربوط به فضای ذخیره‌سازی Blob مایکروسافت Azure
• Saludsa – بیش از ۱۰۰ هزار دانلود – اعتبارنامه‌های سخت‌افزاری مربوط به فضای ذخیره‌سازی Blob مایکروسافت Azure
• Chola Ms Break In – بیش از ۱۰۰ هزار دانلود – اعتبارنامه‌های سخت‌افزاری مربوط به فضای ذخیره‌سازی Blob مایکروسافت Azure
• EatSleepRIDE Motorcycle GPS – بیش از ۱۰۰ هزار دانلود – اعتبارنامه‌های سخت‌افزاری مربوط به Twilio.
• Beltone Tinnitus Calmer – بیش از ۱۰۰ هزار دانلود – اعتبارنامه‌های سخت‌افزاری مربوط به فضای ذخیره‌سازی Blob مایکروسافت Azure

آن‌ها همچنین اعتبارنامه‌هایی را در چندین برنامه ی محبوب که در فروشگاه برنامه ی اپل (Apple’s App Store) فهرست شده‌اند، کشف کردند.

• Crumbl – بیش از ۳.۹ میلیون ارزیابی – اعتبارنامه‌های سخت‌افزاری آمازون.
• Videoshop – ویرایشگر ویدیو – بیش از ۳۵۷.۹ هزار ارزیابی – اعتبارنامه‌های سخت‌افزاری آمازون.
• Solitaire Clash: برنده شدن پول واقعی – بیش از ۲۴۴.۸ هزار ارزیابی – اعتبارنامه‌های سخت‌افزاری آمازون.
• Zap Surveys – کسب درآمد آسان – بیش از ۲۳۵ هزار ارزیابی – اعتبارنامه‌های سخت‌افزاری آمازون.

اگرچه فروشگاه اپل (App Store) تعداد دانلودها را گزارش نمی‌دهد، اما این عدد معمولاً بسیار بیشتر از تعداد ارزیابی‌های ثبت‌شده است.

قابل ذکر است که گوگل در فروشگاه پلی (Play Store) تعداد کل دانلودها را برای کل مدت زمان فعالیت برنامه نمایش می‌دهد و این عدد بازتاب‌دهندهٔ نصب‌های فعال نیست.

وجود هر یک از برنامه‌های فوق در گوشی شما به این معنا نیست که داده‌های شخصی شما دزدیده شده‌اند، بلکه این داده‌ها در دسترس هستند و هکرها می‌توانند آن‌ها را استخراج کنند، مگر اینکه توسعه‌دهندگان اقدام کرده و خطر را برطرف کنند.

در سپتامبر ۲۰۲۲،   Symantec نسبت به این خطر هشدار داد و تأکید کرد که محققان آن بیش از ۱,۸۰۰ برنامهٔ iOS و Android را یافتند که شامل اعتبارنامه‌های AWS بودند، به طوری که ۷۷ درصد از این برنامه‌ها دارای توکن‌های دسترسی معتبر در کد بودند.

محققان به توسعه‌دهندگان توصیه می‌کنند که بهترین شیوه‌ها را برای محافظت از اطلاعات حساس در برنامه‌های موبایل دنبال کنند.

این موضوع شامل استفاده از متغیرهای محیطی برای ذخیرهٔ اعتبارنامه‌ها، استفاده از ابزارهای مدیریت اسرار (مانند AWS Secrets Manager و Azure Key Vault)، رمزنگاری داده‌ها، بررسی‌های منظم کد و حسابرسی‌ها، و ادغام اسکن امنیتی خودکار در مراحل اولیه توسعه به منظور شناسایی داده‌های حساس یا مسائل امنیتی می‌شود.