一份报告称，使用相同的第三方基于人工智能的数字身份SDK的五个未命名的移动银行应用程序可能泄露了超过30万个生物特征数字指纹(在新标签中打开)赛门铁克的研究人员。

据研究人员称，外包应用程序的数字身份和身份验证组件是一种常见的开发模式，因为提供不同形式的身份验证的复杂性对于应用程序开发人员来说可能具有挑战性。

但在这种情况下，该方法严重失败，嵌入在银行应用程序SDK中的是AmazonWebServices(AWS)云凭证，据称可以使用SDK公开属于“每个银行和金融应用程序”的私有身份验证数据和密钥。

此外，使用易受攻击的SDK，研究人员能够找到用于在云中进行身份验证的用户生物特征数字指纹，以及姓名和出生日期等个人数据。

更重要的是，如果要相信Synametic的说法，研究人员显然也能够挖掘出用于整个底层操作的API源代码和AI模型。

但这个问题比五个银行应用程序更深。

研究人员表示，包括Android和iOS在内的超过1,859个公开可用的应用程序中包含AWS凭证。

尽管Android开发者并非完全没有责任，但研究发现，这些易受攻击的应用程序中有97%以上是基于iOS的。

在这些应用程序中，超过四分之三(77%)包含有效的AWS访问令牌，允许访问私有AWS云服务，47%包含有效的AWS令牌，这些令牌还允许通过亚马逊简单存储服务(AmazonS3)。

我怎样才能防止这种情况?

研究人员确实提供了一些关于如何缓解这些类型漏洞的提示。

其中包括在应用程序开发生命周期中添加安全扫描解决方案，如果使用外包提供商，则要求和审查移动应用程序“报告卡”，他们说这可以识别移动应用程序的每个版本的任何不需要的应用程序行为或漏洞。

作为应用程序开发人员，研究人员建议寻找一份报告卡，该报告卡既能扫描应用程序中的SDK和框架，又能识别任何漏洞或不良行为的来源。

标签：