Amazon ดาวน์โหลดแอพพลิเคชั่นจาก Google Play เพื่อดีคอมไพล์หา AWS Secret Key

By: lew

on 31 March 2014 - 14:26 Tags:

Topics:

มีรายงานจากนักพัฒนาแสดงอีเมลจากอเมซอน แจ้งว่านักพัฒนานำกุญแจลับสำหรับควบคุม API ของ AWS ไปใส่ไว้ในแอพพลิเคชั่น การที่อเมซอนจะรู้ได้ว่ามีกุญแจของ AWS อยู่ในแอพพลิเคชั่นแสดงว่าต้องมีการไล่ดีคอมไพล์โค้ดของแอพพลิเคชั่นมาตรวจสอบ

อย่างไรก็ดีการทำกุญแจลับของ AWS ไปวางไว้ในแอพพลิเคชั่นนับเป็นความเลินเล่ออย่างร้ายแรง แฮกเกอร์ที่มุ่งร้ายสามารถดึงกุญแจออกมาได้เช่นเดียวกับทางอเมซอนเอง หากกุญแจเหล่านี้ตกไปอยู่ในมือแฮกเกอร์อาจจะทำสร้างเซิร์ฟเวอร์บนอเมซอนเพื่อใช้โจมตีเหยื่ออื่นๆ ต่อไปโดยใช้บัญชีของนักพัฒนา

ก่อนหน้านี้เคยมีรายงานกุญแจลับ AWS ถูกโพสไว้บน GitHub จำนวนมาก

ที่มา - The Register, Raj Bala

Hiring! บริษัทที่น่าสนใจ

AI & Robotics Ventures Co.,Ltd

AI & Robotics Ventures (ARV) is a venture building arm of PTTEP

Iron Software

Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.

Sertis

Sertis is a leading Big data and AI-powered solution company

Comments

By: EThaiZone

on 31 March 2014 - 17:03 #691739

กำลังสงสัยว่าตามปกติ เราผู้พัฒนาจะมี access key กับ secret key เพื่อเอาไว้ขอ session token

เพียงแต่กระบวนการขอ session token มันควรทำบนเซอเวอร์ของผู้พัฒนา ไม่น่าทำบนมือถือ แล้วแค่ Amazon จับ IP ตอนขอ session token ว่ามันมีจำนวน IP เยอะๆ กว้างๆ ก็ไม่น่าจะเป็นมาจาก server แหล่งเดียว

ผมว่ามันดูคล้ายๆ Raj Bala เขาคิดไปเองหรือเปล่าว่าโปรแกรมเขาถูกแกะ?

มันไม่ง่ายเลยที่จะทำ GIF ให้มีขนาดน้อยกว่า 20kB

By: panurat2000

on 31 March 2014 - 18:05 #691768

หากกุญแจเหล่านี้ตกไปอยู่ในมือแฮกเกอร์อาจจะทำสร้างเซิร์ฟเวอร์บนอเมซอนเพื่อใช้โจมตีเหยื่ออื่นๆ ต่อไป

อาจจะทำสร้าง ?

Main menu