मोबाइल बैंकिंग ऐप ने कथित तौर पर हज़ारों डिजिटल फ़िंगरप्रिंट लीक किए
एक ही तृतीय-पक्ष एआई-आधारित डिजिटल आईडी एसडीके का उपयोग करने वाले पांच अनाम मोबाइल बैंकिंग ऐप में 300,000 से अधिक बायोमेट्रिक डिजिटल फिंगरप्रिंट लीक हो सकते हैं। रिपोर्ट good (नए टैब में खुलता है) सिमेंटेक शोधकर्ताओं द्वारा।
शोधकर्ताओं के अनुसार, ऐप्स की डिजिटल पहचान और प्रमाणीकरण घटकों को आउटसोर्स करना एक सामान्य विकास पैटर्न है। ऐसा इसलिए है क्योंकि ऐप डेवलपर्स के लिए प्रमाणीकरण के विभिन्न रूपों को प्रदान करने की जटिलता मुश्किल हो सकती है।
हालांकि, इस उदाहरण में, यह दृष्टिकोण नाटकीय रूप से विफल रहा और इसे अमेज़ॅन वेब सर्विसेज द्वारा बैंकिंग ऐप एसडीके में बनाया गया था (एडब्ल्यूएस) एसडीके निजी प्रमाणीकरण डेटा और “सभी बैंकिंग और वित्तीय ऐप” क्लाउड क्रेडेंशियल से संबंधित कुंजियों को उजागर करने के लिए।
पूर्ण भेद्यताएं क्या हैं?
इसके अतिरिक्त, कमजोर एसडीके का उपयोग करके, शोधकर्ता उपयोगकर्ता के बायोमेट्रिक डिजिटल फिंगरप्रिंट को क्लाउड में प्रमाणित करने के लिए उपयोग किए जाने में सक्षम थे, साथ ही नाम और जन्म तिथि जैसे व्यक्तिगत डेटा के साथ।
इसके अतिरिक्त, यदि Synamatic के दावों पर विश्वास किया जाए, तो शोधकर्ता एपीआई स्रोत कोड और अंतर्निहित संचालन के दौरान उपयोग किए जाने वाले AI मॉडल को भी उजागर करने में सक्षम थे।
लेकिन समस्या पांच बैंकिंग ऐप्स से आगे निकल जाती है।
शोधकर्ताओं के अनुसार, Android और iOS दोनों सहित 1,859 से अधिक सार्वजनिक ऐप्स में AWS क्रेडेंशियल शामिल थे।
ऐसा नहीं है कि एंड्रॉइड डेवलपर्स पूरी तरह से गैर-जिम्मेदार हैं, लेकिन शोध से पता चलता है कि इनमें से 97% से अधिक कमजोर ऐप आईओएस-आधारित हैं।
इन ऐप्स में से तीन-चौथाई (77%) से अधिक वैध एडब्ल्यूएस एक्सेस टोकन हैं जो एडब्ल्यूएस निजी क्लाउड सेवाओं तक पहुंच प्रदान करते हैं, और 47% में वैध एडब्ल्यूएस टोकन होते हैं। मैं था। अमेज़ॅन सिंपल स्टोरेज सर्विस (अमेज़ॅन एस 3)।
मेरे द्वारा इसे कैसे रोका जा सकता है?
शोधकर्ताओं ने इस प्रकार की कमजोरियों को कम करने के लिए कुछ सुझाव दिए हैं।
इनमें आपके ऐप विकास जीवनचक्र में एक सुरक्षा स्कैनिंग समाधान जोड़ना शामिल है और, यदि आप एक आउटसोर्सिंग प्रदाता का उपयोग करते हैं, तो एक मोबाइल ऐप “रिपोर्ट कार्ड” जो प्रत्येक मोबाइल ऐप रिलीज़ के लिए अवांछित ऐप व्यवहार और कमजोरियों की पहचान कर सकता है। अनुरोध करने और पुष्टि करने सहित
एक ऐप डेवलपर के रूप में, शोधकर्ताओं ने आपके आवेदन के एसडीके और ढांचे दोनों को स्कैन करने और रिपोर्ट कार्ड की तलाश करने का सुझाव दिया जो कमजोरियों या अवांछित व्यवहार के स्रोतों की पहचान करेगा।
