Estudo da superexposição de credenciais da Amazon em aplicativos móveis

1 INTRODUÇÃO ..........................................................................................................................................3

1.1 GESTÃO DE IDENTIDADES EM AMAZON AWS................................................................................................... 3

2 IDENTIFICANDO O PROBLEMA .................................................................................................................5

3 ANÁLISE DOS DADOS ...............................................................................................................................6

4 CENÁRIOS DE ATAQUE E HIPÓTESE ..........................................................................................................8

5 CONCLUSÕES E RECOMENDAÇÕES ..........................................................................................................9

0

500000

1000000

1500000

2010 2011 2012 2013 2014

Nº

TOTA

L D

E A

PP

S

ANO

Nº TOTAL DE APPS POR MARKET

Apple Store

Google Play

Amazon Appstore

,

# Fill in your AWS Access Key ID and Secret Access Key # http://aws.amazon.com/security-credentials #!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! # This sample App is for demonstration purposes only. # It is not secure to embed your credentials into source code. #!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! accessKey=AKIAJZUGBMWUTJOS2A secretKey=0OvgWIKJ3EnsmSSpw1HPzV3VgWA643LCBTfPHW+

7%

93%

Disponibilidade nos markets dos apps analisados

Não disponíveis Disponível

58,7

41,3

AWS access key diferentes encontradas

Operacionais (37) Não operacionais (26)

0

2

4

6

8

10

12

14

16

Compartimentação de access keys por diferentes apps

22

15

Número total de access key operacionais

Credenciais que permitem full control Permitem escrita