<menuitem id="3dnt9"><video id="3dnt9"></video></menuitem>
<cite id="3dnt9"><video id="3dnt9"></video></cite>
<cite id="3dnt9"></cite>
<cite id="3dnt9"><video id="3dnt9"></video></cite>
<cite id="3dnt9"></cite>
论坛广播台
广播台右侧结束

主题: 关于多款Android平台APP存在阿里云OSS凭证泄露风险的安全公告

  • tirabboy
楼主回复
头像装饰卡
  • 阅读:3884
  • 回复:1
  • 发表于:2017/7/27 14:55:38
  1. 楼主
  2. 倒序看帖
  3. 只看该作者
马上注册,结交更多好友,享用更多功能,让你轻松玩转榕江社区。

立即注册。已有帐号? 登录或使用QQ登录微信登录新浪微博登录

网络安全通报

第201706期

        榕江淘人网           2017/7/13

关于多款Android平台APP存在阿里云OSS凭证泄露风险的安全公告



       近期,国家信息安全漏洞共享平台(CNVD)接收到上海犇众信息技术有限公司报告的多款安卓平台APP存在阿里云OSS凭证泄露漏洞(CNVD-2017-06366、09774、10187、11666、11811)。攻击者利用漏洞可获得APP OSS的控制权,进而远程获取云存储数据,并拥有创建、删除、上传、下载等操作权限,对相关APP服务运营方构成较为严重的信息泄露和运行安全风险。

        一、漏洞情况分析

        阿里云对象存储服务(Object Storage Service,简称OSS),是阿里云对外提供的海量、安全和高可靠的云存储服务。在阿里云官方文档中明?#20998;?#20986;:“移动终端是一个不受信任的环境,把accessKeyId和accessKeySecret直接保存在终端?#32654;?#21152;签请求,存在极高的风险。?#20445;?#21516;时阿里云在示例代码中也给出相应的警告信息,示例代码如下:

 登录查看大图
登录/注册后可查看大图




                                                                                                     图 官网OSS凭证信息示例代码

        根据CNVD秘书处核验结果,一些集成了阿里云OSS的Android平台APP在使用SDK的时候只是简单复制了阿里云OSS官方测试demo代码,并未根据官方建议对访?#22763;?#21046;策略进行设置,直接将accessKeyId和accessKeySecre内置在移动应用程序。攻击者通过对APP进行脱壳逆分析可获得这组凭证后,利用OSS管理工具(ossutil)可以远程获取其云存储的数据,并拥有对该OSS的控制权。

        CNVD对相关漏洞综合评级为“高危”。

        二、漏洞影响范围

        漏洞影响使用阿里云OSS且未按官方安全策略开发的移动应用APP。根据上海犇众公司报告和CNVD核验情况,已有8款应用较为广泛的APP受到漏洞影响的案例。CNVD已向相关APP开发?#20132;?#36816;营管理方通报漏洞信息,并将风险情况通报阿里云公司。

        三、漏洞修复建议

        根据阿里云公司提供的技术措施,APP管理?#25509;?#21551;用阿里云权限管理机制包括访?#22763;?#21046;(Resource Access Management,简称 RAM)和安全凭证管理(Security Token Service,简称 STS),根据需求使用不同权限的子账号来访问OSS,或为用户提供访问的临时授权。主要的访?#22763;?#21046;策略如下:

ü    不使用主账号访问OSS;

ü    ?#21015;?#20998;离;

ü     Bucket权限隔离;

ü    使用STS的临时凭证来访问OSS。

        详情请参考阿里云官方提供的安全开发建议:

        https://m.aliyun.com/doc/document_detail/31929.html

        https://m.aliyun.com/yunqi/articles/55947

        https://m.aliyun.com/doc/document_detail/31929.html 

        https://m.aliyun.com/doc/document_detail/28642.html  

        附:参考链接:

      https://help.aliyun.com/document_detail/32044.html?spm=5176.doc32010.6.688.mqlbpr (阿里云官方对于aliyun OSS Android SDK的开发?#24471;?#25991;档)
就差遇见你
  
二维码

下载APP 随时随地回帖

你需要登录后才可以回帖 登录 | 注册 QQ登陆 微信登陆 新浪微博登陆
加入签名
Ctrl + Enter 快速发布
篮球入门基本功
<menuitem id="3dnt9"><video id="3dnt9"></video></menuitem>
<cite id="3dnt9"><video id="3dnt9"></video></cite>
<cite id="3dnt9"></cite>
<cite id="3dnt9"><video id="3dnt9"></video></cite>
<cite id="3dnt9"></cite>
<menuitem id="3dnt9"><video id="3dnt9"></video></menuitem>
<cite id="3dnt9"><video id="3dnt9"></video></cite>
<cite id="3dnt9"></cite>
<cite id="3dnt9"><video id="3dnt9"></video></cite>
<cite id="3dnt9"></cite>
新时时彩遗漏查 北京赛车pk官方网站 中国体彩网大乐透规则 复式七加一中五个红球多少钱 时时彩卡时间漏洞 体彩北京11选5开将结果 快乐飞艇是哪个国家开奖 中国福利彩票30选5中奖号码 21点扑克牌游戏 广告二肖中特期期免费大公开 澳洲幸运8开奖网app 河南开奖结果 河南快三预测 快乐10分任三投注 百胜国际娱乐789