Аналіз закодованих облікових даних в Android додатках

Анотація

У даній роботі представлено результати масштабного дослідження поширеності закодованих секретів, таких як API-ключі та облікові дані, у 6165 Android-додатках, отриманих із Google Play Store. Використовуючи інструменти MobSF і Trufflehog, було виявлено, що значна кількість додатків містить в коді чутливі дані, які створюють серйозні ризики для безпеки. Зокрема, виявлено закодовані облікові дані хмарних провайдерів, таких як Amazon Web Services і Google Cloud Platform, що можуть призводити до несанкціонованого доступу, компрометації конфіденційної інформації, зловживання ресурсами та фінансових втрат. Аналіз показав, що категорія “Здоров’я та фітнес” має найвищу частоту вбудованих секретів, за нею йдуть “Новини та журнали”, “Музика та аудіо”, “Фотографія” та “Соціальні мережі”. У додатках з категорії “Комунікації”, які обробляють чутливу інформацію, такі як особисті повідомлення та мультимедіа, закодовані облікові дані створюють додаткові ризики, зокрема перехоплення даних, компрометацію цілісності комунікацій та атаки на відмову в обслуговуванні. В результаті дослідження також виявлено проблеми в управлінні й ротації секретів, що перешкоджає впровадженню розробниками найкращих практик безпеки. Це свідчить про необхідність посилення автоматизації процесів виявлення та оновлення секретів у мобільних додатках. Отримані результати також підкреслюють потребу у впровадженні централізованих рішень для управління конфіденційною інформацією, таких як системи управління секретами. Для зменшення ризиків пропонується інтеграція рішень типу DevSecOps, що забезпечить безпеку на всіх етапах розробки програмного забезпечення. Крім того, дослідження акцентує увагу на важливості дотримання стандартів безпеки, таких як OWASP Mobile Top 10, для мінімізації вразливостей у мобільних додатках.

Ключові слова: безпека мобільних додатків, android security, data privacy, static analysis, improper credentials usage, OWASP Mobile, MobSF, Trufflehog.