유명 클라우드로의 크리덴셜, 각종 모바일 앱 통해 퍼진다 외 3건

요약	- AWS, Azure의 인증 키들이 안드로이드와 iOS 앱들에서 발견 - 인증 정보를 코드 내에 하드코딩하고 암호화하지 않은 상태로 포함
내용	- AWS, Azure 등 클라우드 서비스의 인증 정보가 암호화 없이 하드코딩된 것으로 확인 > 앱의 바이너리 또는 소스 코드에 접근할 수 있는 누구나 자격 증명을 추출하여 데이터 조작 또는 유출할 수 있음을 의미 - 해당 앱들은 Google Play Stroe와 Apple App Store 등에서 수백만 번 다운로드됨 > Google Play Store : Pic Stitch, Meru Cabs, ReSound Tinnitus Relief 등 > Apple App Store : Crumbl, VideoShop 등 - 개발 단계에서의 잘못된 보안 관행이 주요 원인 > 개발자들이 편의상 자격 증명을 하드코딩하고 암호화 없이 남겨둔 채 배포된 것 - 권고 사항 > 환경변수 사용 : 민감한 자격 증명을 런타임에 로드되는 환경변수에 저장 > 비밀 관리 도구 사용 : AWS Secrets Manager나 Azure Key Vault와 같은 전용 비밀 관리 도구를 활용 > 민감 데이터 암호화 : 자격 증명을 앱에 저장해야 하는 경우 강력한 암호화 알고리즘 적용 및 런타임때 복호화 > 코드 리뷰 및 감사 : 정기적으로 코드 리뷰와 보안 감사를 수행해 하드코딩된 자격 증명과 기타 보안 취약점 식별 및 제거 > 보안 스캔 자동화 : 자동화된 보안 스캔 도구를 CI/CD에 통합하여 개발 프로세스 초기에 하드코딩된 자격 증명과 기타 보안 결함 감지
기타	- 22.09 보안 연구원은 AWS 자격 증명이 포함된 1,800개 이상의 iOS 및 Android 앱을 발견 > 이 중 77%가 코드베이스에 유효한 액세스 토큰

 

보안뉴스

유명 클라우드로의 크리덴셜, 각종 모바일 앱 통해 퍼진다

수백만 사용하는 모바일 앱 보안 허점...AWS, Azure 인증 키 노출돼 - 데일리시큐

AWS, Azure auth keys found in Android and iOS apps used by millions

Exposing the Danger Within: Hardcoded Cloud Credentials in Popular Mobile Apps