eSoft Latinoamérica, compañía representante de las soluciones tecnológicas de clase mundial de Broadcom, dio a conocer el reporte que realizó Symantec, en el cual se evidencia que más de las tres cuartas partes de las aplicaciones analizadas contenían tokens de acceso de AWS válidos que permitían el acceso a servicios privados en la nube de AWS.
De manera similar a la cadena de suministro de bienes materiales, el desarrollo de software de aplicaciones móviles se somete a un proceso que incluye: la recopilación de materiales, como bibliotecas de software y kits de desarrollo de software (SDK); la fabricación o desarrollo de la aplicación móvil; y el envío del resultado final al cliente, a menudo utilizando tiendas de aplicaciones móviles.
Algunos de los problemas de la cadena de suministro en las aplicaciones móviles, que las hacen vulnerables, son:
– Los desarrolladores de aplicaciones móviles utilizan, sin saberlo, bibliotecas de software externas vulnerables y SDK.
– Las empresas que subcontratan el desarrollo de sus aplicaciones móviles, no verifican que el proveedor haya tenido en cuenta la seguridad desde el diseño.
– Las empresas, a menudo las más grandes, que desarrollan múltiples aplicaciones de manera interna, permiten que sus equipos utilicen bibliotecas disponibles en Internet pero no cuentan con pruebas de concepto y validación de seguridad.
“Con la transformación digital, y en el marco de la pandemia, las empresas aceleraron sus desarrollos para poner a disposición de los usuarios muchos servicios a través de páginas web y aplicaciones, pero quizás no tuvieron en cuenta la seguridad como parte del diseño. La seguridad de las aplicaciones es fundamental porque las aplicaciones actuales suelen estar disponibles a través de varias redes y conectadas al cloud, lo que aumenta las vulnerabilidades y las amenazas, mientras la empresa puede exponer su información confidencial y bases de datos ante los cibercriminales”, mencionó Ricardo Dossantos, Gerente de Servicios y ciberseguridad para Latinoamérica de eSoft.
Alcance del problema
Para comprender mejor la prevalencia y el alcance de estas vulnerabilidades de la cadena de suministro, Symantec analizó las aplicaciones disponibles públicamente en la colección global de aplicaciones que contenían credenciales codificadas de Amazon Web Services (AWS).
Según el reporte, Symantec identificó 1.859 aplicaciones disponibles públicamente, tanto para Android como para iOS, que contienen credenciales de AWS codificadas. Casi todas eran aplicaciones de iOS (98 %), una tendencia y una diferencia entre las plataformas que ha rastreado durante años, posiblemente vinculadas a diferentes prácticas y políticas de investigación de la tienda de aplicaciones.
En cualquier caso, al examinar el alcance y la magnitud de los riesgos involucrados cuando las credenciales de AWS se encuentran incrustadas dentro de las aplicaciones, se encontró lo siguiente:
– Más de las tres cuartas partes (77 %) de las aplicaciones contenían tokens de acceso de AWS válidos que permitían el acceso a servicios privados en la nube de AWS.
– Cerca de la mitad (47 %) de esas aplicaciones contenían tokens de AWS válidos que también brindaban acceso completo a numerosos, a menudo millones, de archivos privados a través de Amazon Simple Storage Service (Amazon S3)
Las credenciales en la nube codificadas de forma rígida son un tipo de vulnerabilidad que la firma ha estado analizando durante años y que ha cubierto ampliamente en el pasado. Esta vez, para llegar al fondo de los impactos en la cadena de suministro causados por este problema, analizó por qué los desarrolladores codifican las credenciales de la nube dentro de las aplicaciones; dónde se encuentran las credenciales codificadas: seguimiento de la secuencia o cadena de eventos que conducen a la vulnerabilidad; y finalmente, la magnitud del problema y su impacto.
Ante ello, el mensaje es claro: las aplicaciones con tokens de acceso de AWS codificados son vulnerables, activas y presentan un riesgo grave.
Fuente del problema
Luego, la firma investigó por qué y dónde estaban exactamente los tokens de acceso de AWS dentro de las aplicaciones, y si se encontraban en otras aplicaciones.
Descubrió que más de la mitad (53%) de las aplicaciones usaban los mismos tokens de acceso de AWS que se encuentran en otras aplicaciones. Curiosamente, estas aplicaciones a menudo eran de diferentes empresas y desarrolladores de aplicaciones. Esto apuntaba a una vulnerabilidad en la cadena de suministro y eso es exactamente lo que se encontró. Los tokens de acceso de AWS se pueden rastrear hasta una biblioteca compartida, un SDK de terceros u otro componente compartido utilizado en el desarrollo de las aplicaciones.
Si una clave de acceso solo tiene permiso para acceder a un servicio o activo en la nube específico, por ejemplo, acceder a archivos de imágenes públicas desde el servicio corporativo de Amazon S3, el impacto puede ser mínimo.
Algunos desarrolladores de aplicaciones pueden suponer que este es el caso cuando incorporan y utilizan tokens de acceso de AWS codificados para acceder a un único depósito o archivo en Amazon S3. El problema suele ser que el mismo token de acceso de AWS expone todos los archivos y depósitos en la nube de Amazon S3, a menudo archivos corporativos, archivos y componentes de infraestructura, copias de seguridad de bases de datos, etc., sin mencionar los servicios en la nube más allá de Amazon S3 a los que se puede acceder con el mismo acceso de AWS.
¿Cómo evitar problemas en el desarrollo de las Apps?
Es posible protegerse de este tipo de problemas de la cadena de suministro al agregar soluciones de escaneo de seguridad al ciclo de vida de desarrollo de la aplicación y, si se utiliza un proveedor externo, solicitar y revisar el reporte de calificaciones de la aplicación móvil, que pueden identificar cualquier comportamiento no deseado o vulnerabilidad de la aplicación para cada versión de una aplicación móvil, puede ser útil para resaltar posibles problemas.
Como desarrollador de aplicaciones, busque un reporte de calificaciones que analice SDK y marcos en su aplicación e identifique la fuente de cualquier vulnerabilidad o comportamiento no deseado.
“Además, la autenticación, el cifrado, el registro y las pruebas de seguridad de las aplicaciones son parte fundamental del ciclo de vida de cualquier aplicación, lo cual ayudará a detectar a tiempo posibles brechas de seguridad”, anotó Ricardo Dossantos.
Las soluciones y servicios de seguridad de Symantec están disponibles en el país a través de eSoft LATAM, Partner Tier 1 y VAD “Value Added Distributor”, que fue reconocida por Broadcom en su Programa Expert Advantage, por su conjunto de habilidades altamente especializadas y experiencia localizada.
www.broadcom.com https://esoft.com.co
https://expert.broadcom.com/partner/esoft-colombia-sas
https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/mobile-supply-chain-aws