Tuore tutkimus on paljastanut vakavan tietoturvaongelman Apple Storen sovelluksissa. Cybernewsin tekemä analyysi yli 156 000 iOS-sovelluksesta osoittaa, että peräti 71 prosenttia niistä sisältää vähintään yhden kovakoodatun salaisuuden, kuten pilvitallennusavaimen, API-avaimen tai maksujärjestelmien tunnisteen.
Tutkimuksessa löydettiin yhteensä yli 815 000 kovakoodattua avainta, joista tuhannet ovat erityisen arkaluonteisia ja voivat johtaa tietovuotoihin tai tietomurtoihin. Suurimpia riskejä aiheuttavat pilvitallennus- ja Firebase-endpointit, jotka jäävät usein ilman suojausta.
Tutkimus paljasti, että 83 000 pilvitallennusavainta oli kovakoodattuna sovelluksiin, joista 836 oli täysin suojaamattomia. 51 000 Firebase-tietokantaosoitetta vuoti sovellusten koodista, joista yli 2 200 oli avoimia. Lisäksi 8 400 Fabric API -avainta ja 3 300 Live Branch -avainta mahdollistivat käyttäjätietojen, kuten sähköpostiosoitteiden ja maksutietojen, väärinkäytön.
Herkimpiä paljastuksia olivat 19 Stripe-salaisuusavainta, jotka voivat mahdollistaa maksujen suorittamisen ja asiakastietojen hakemisen, sekä 367 JSON Web Token -avainta, joita voidaan käyttää istuntojen kaappaamiseen ja käyttäjätietojen manipulointiin.
Vaikka Apple tunnetaan tiukasta App Store -hyväksyntäkäytännöstään, tutkimus osoittaa, että se ei arvioi sovellusten koodia kovakoodattujen salaisuuksien varalta. Tämä tarkoittaa, että kehittäjien tietoturvakäytännöt jäävät pitkälti heidän omalle vastuulleen.
Cybernewsin asiantuntija Aras Nazarovas muistuttaa, että sovellusten käyttäjillä ei ole keinoja tarkistaa sovellusten turvallisuutta. Hänen mukaansa paras tapa suojautua on suosia tunnettujen kehittäjien sovelluksia, minimoida sovelluksille myönnettävät oikeudet ja poistaa tarpeettomat sovellukset laitteelta.
Tietoturvaongelman ratkaiseminen ei ole yksinkertaista. Kovakoodattujen avainten poistaminen vaatii uusien avainten luomista ja vanhojen peruuttamista, mikä voi aiheuttaa toimintahäiriöitä sovelluksille. Lisäksi sovellusten arkkitehtuuria on usein muutettava, jotta salaisuudet voidaan tallentaa turvallisemmin palvelimelle tai käyttää asiakasturvallisia ohjelmointirajapintoja.
Apple ei ole toistaiseksi kommentoinut tutkimuksen tuloksia.
Lue lisää täällä.