Test

Dit is een popup

Aanmeldgegevens populaire software gevonden in Android-apps

In honderden Android-apps zijn aanmeldgegevens teruggevonden voor third party software. De gegevens kunnen misbruikt worden om toegang te verkrijgen tot onder andere Twitter en Dropbox.

De beveiligingsfirma Hackernoon heeft 16.000 apps onder handen genomen en hun beveiliging nagekeken. Op het merendeel van de software was niets aan te merken. Er waren echter enkele apps die aanmeldgegevens in hun code hadden verstopt voor de integratie met bekende software als Twitter, Amazon Web Services en Dropbox. Hackers die hun handen kunnen leggen op de gegevens hebben vrije toegang tot de third party apps, met alle gevolgen van dien.

Gevoelige gegevens

“Ongeveer 2.500 van de geteste apps bevatten een sleutel van een third party dienst,” schrijft Hackernoon. “Sommige van deze sleutels zijn ongevaarlijk en noodzakelijk, zoals bijvoorbeeld de sleutel voor Googles API. Er waren echter 304 apps met sleutels die zeker niet in de code hadden mogen zitten.”

Een derde van de aanmeldgegevens die in de apps terug te vinden is, was voor Twitter. Ook Dropbox, Instagram, Slack en Amazon Web Services behoren tot de gedupeerden. Veel van deze aanmeldgegevens gaven toegang tot accounts met weinig privileges. Hackernoon merkt echter op dat er eveneens sleutels waren gevonden die de volledige toegang tot Amazon Web Services gaven. Iemand met dergelijke privileges is in staat om instanties te creëren en verwijderen. Door AWS-instanties te verwijderen kan je voor dataverlies en downtime zorgen.

Sneeuwbaleffect

Ondanks de mogelijke kattenkwaad die hackers kunnen uithalen met de aanmeldgegevens lijkt het op het eerste zicht geen grote datalek. 304 slecht beveiligde apps op een totaal van 16.000 kan je immers moeilijk veel noemen. Wanneer je verder kijkt naar de data die hackers potentieel kunnen aanspreken, zal je echter al snel merken dat een sneeuwbaleffect kan worden veroorzaakt.

Stel je voor dat een hacker zijn handen kan leggen op de chatgeschiedenis van een team programmeurs. De cybercrimineel zou via deze weg aanmeldgegevens voor databases en andere diensten kunnen te weten komen. Hierdoor kan de hacker extra data bemachtigen, waardoor de grootte van een potentieel datalek drastisch toeneemt.

Onderaan zijn blogpost geeft Hackernoon dan ook een eenvoudige maar noodzakelijke raad voor ontwikkelaars mee. “Denk goed na alvorens je API-sleutels in de code van je app verwerkt. Denk na of de token echt nodig is en begrijp de scope van de sleutels alvorens je ze in je apps stopt.”

De beveiligingsfirma Hackernoon heeft 16.000 apps onder handen genomen en hun beveiliging nagekeken. Op het merendeel van de software was niets aan te merken. Er waren echter enkele apps die aanmeldgegevens in hun code hadden verstopt voor de integratie met bekende software als Twitter, Amazon Web Services en Dropbox. Hackers die hun handen kunnen leggen op de gegevens hebben vrije toegang tot de third party apps, met alle gevolgen van dien.

Gevoelige gegevens

“Ongeveer 2.500 van de geteste apps bevatten een sleutel van een third party dienst,” schrijft Hackernoon. “Sommige van deze sleutels zijn ongevaarlijk en noodzakelijk, zoals bijvoorbeeld de sleutel voor Googles API. Er waren echter 304 apps met sleutels die zeker niet in de code hadden mogen zitten.”

Een derde van de aanmeldgegevens die in de apps terug te vinden is, was voor Twitter. Ook Dropbox, Instagram, Slack en Amazon Web Services behoren tot de gedupeerden. Veel van deze aanmeldgegevens gaven toegang tot accounts met weinig privileges. Hackernoon merkt echter op dat er eveneens sleutels waren gevonden die de volledige toegang tot Amazon Web Services gaven. Iemand met dergelijke privileges is in staat om instanties te creëren en verwijderen. Door AWS-instanties te verwijderen kan je voor dataverlies en downtime zorgen.

Sneeuwbaleffect

Ondanks de mogelijke kattenkwaad die hackers kunnen uithalen met de aanmeldgegevens lijkt het op het eerste zicht geen grote datalek. 304 slecht beveiligde apps op een totaal van 16.000 kan je immers moeilijk veel noemen. Wanneer je verder kijkt naar de data die hackers potentieel kunnen aanspreken, zal je echter al snel merken dat een sneeuwbaleffect kan worden veroorzaakt.

Stel je voor dat een hacker zijn handen kan leggen op de chatgeschiedenis van een team programmeurs. De cybercrimineel zou via deze weg aanmeldgegevens voor databases en andere diensten kunnen te weten komen. Hierdoor kan de hacker extra data bemachtigen, waardoor de grootte van een potentieel datalek drastisch toeneemt.

Onderaan zijn blogpost geeft Hackernoon dan ook een eenvoudige maar noodzakelijke raad voor ontwikkelaars mee. “Denk goed na alvorens je API-sleutels in de code van je app verwerkt. Denk na of de token echt nodig is en begrijp de scope van de sleutels alvorens je ze in je apps stopt.”

aanmeldgegevensamazon web servicesAndroidBeveiligingdropboxHackernoonmobielslacksleuteltoken

Gerelateerde artikelen

Volg ons

ICT Jaarboek 2021-2022 – TechPulse Business

ICT Jaarboek 2021-2022 – TechPulse Business

Bestel nu!