西安建筑科技大学信息网络中心、教育技术中心
网络信息安全
当前位置:首页>> 网络信息安全 >>病毒信息及预警
关于多款Android平台APP存在阿里云OSS凭证泄露风险的安全公告
编辑:      发表时间:[2017-07-07]       阅读:465

 

 近期,国家信息安全漏洞共享平台(CNVD)接收到上海犇众信息技术有限公司报告的多款安卓平台APP存在阿里云OSS凭证泄露漏洞(CNVD-2017-06366、09774、10187、11666、11811)。攻击者利用漏洞可获得APP OSS的控制权,进而远程获取云存储数据,并拥有创建、删除、上传、下载等操作权限,对相关APP服务运营方构成较为严重的信息泄露和运行安全风险。

        一、漏洞情况分析

        阿里云对象存储服务(Object Storage Service,简称OSS),是阿里云对外提供的海量、安全和高可靠的云存储服务。在阿里云官方文档中明确指出:“移动终端是一个不受信任的环境,把accessKeyId和accessKeySecret直接保存在终端用来加签请求,存在极高的风险。”,同时阿里云在示例代码中也给出相应的警告信息,示例代码如下:

 

                                                                                                     图 官网OSS凭证信息示例代码

        根据CNVD秘书处核验结果,一些集成了阿里云OSS的Android平台APP在使用SDK的时候只是简单复制了阿里云OSS官方测试demo代码,并未根据官方建议对访问控制策略进行设置,直接将accessKeyId和accessKeySecre内置在移动应用程序。攻击者通过对APP进行脱壳逆分析可获得这组凭证后,利用OSS管理工具(ossutil)可以远程获取其云存储的数据,并拥有对该OSS的控制权。

        CNVD对相关漏洞综合评级为“高危”。

        二、漏洞影响范围

        漏洞影响使用阿里云OSS且未按官方安全策略开发的移动应用APP。根据上海犇众公司报告和CNVD核验情况,已有8款应用较为广泛的APP受到漏洞影响的案例。CNVD已向相关APP开发方或运营管理方通报漏洞信息,并将风险情况通报阿里云公司。

        三、漏洞修复建议

        根据阿里云公司提供的技术措施,APP管理方应启用阿里云权限管理机制包括访问控制(Resource Access Management,简称 RAM)和安全凭证管理(Security Token Service,简称 STS),根据需求使用不同权限的子账号来访问OSS,或为用户提供访问的临时授权。主要的访问控制策略如下:

    不使用主账号访问OSS;

    读写分离;

     Bucket权限隔离;

    使用STS的临时凭证来访问OSS。

        详情请参考阿里云官方提供的安全开发建议:

        https://m.aliyun.com/doc/document_detail/31929.html

        https://m.aliyun.com/yunqi/articles/55947

        https://m.aliyun.com/doc/document_detail/31929.html 

        https://m.aliyun.com/doc/document_detail/28642.html  

        附:参考链接:

        https://help.aliyun.com/document_detail/32044.html?spm=5176.doc32010.6.688.mqlbpr (阿里云官方对于aliyun OSS Android SDK的开发说明文档)

 

发布自国家互联网应急中心  http://www.cert.org.cn/publish/main/9/2017/20170705161308775252431/20170705161308775252431_.html

 

CopyRight © 2011 All Rights Reserved.西安建筑科技大学信息网络中心、教育技术中心 版权所有
地址:西安市雁塔路13号 邮编:710055

电话:029-82205305     89025216(草堂校区)