Allarme sicurezza: credenziali AWS e Azure non protette all'interno di app scaricate da milioni di utenti

Una recente analisi condotta da Symantec ha fatto luce su una preoccupante vulnerabilità di sicurezza che interessa numerose applicazioni mobili popolari sia su iOS che Android: esse contengono infatti nel loro codice sorgente credenziali non crittografate per l'accesso a servizi cloud come Amazon Web Services e Microsoft Azure Blob Storage.

La gravità della situazione è evidenziata dai numeri: i ricercatori hanno identificato oltre 1.800 applicazioni contenenti credenziali AWS, con il 77% di queste che presenta token di accesso ancora validi all'interno del codice.

"Chiunque abbia accesso al codice binario o sorgente dell'app potrebbe potenzialmente estrarre queste credenziali e utilizzarle in modo improprio", avvertono i ricercatori di Symantec. "Modo improprio" che può voler dire manipolazione non autorizzata dei dati e furto di informazioni sensibili contenute nei bucket di archiviazione e nei database.

L'elenco delle app individuato da Symantec - Fonte: Symantec

È importante precisare che la semplice presenza di queste app sul proprio dispositivo non implica automaticamente un furto di dati personali, ma rappresenta una vulnerabilità che potrebbe essere sfruttata da malintenzionati se non corretta tempestivamente dagli sviluppatori.

I ricercatori hanno delineato una serie di best practice che gli sviluppatori dovrebbero adottare. Tra queste, l'implementazione di variabili di ambiente per la gestione delle credenziali, l'utilizzo di strumenti dedicati come AWS Secrets Manager o Azure Key Vault, e l'adozione di robusti protocolli di crittografia. Viene inoltre raccomandata l'integrazione di processi di scansione automatizzata della sicurezza nelle prime fasi dello sviluppo, accompagnata da revisioni e verifiche regolari del codice per identificare tempestivamente eventuali vulnerabilità.