信息來源：國家互聯網應急中心

        近期，國家信息安全漏洞共享平臺（CNVD）接收到上海犇眾信息技術有限公司報告的多款安卓平臺APP存在阿里云OSS憑證泄露漏洞(CNVD-2017-06366、09774、10187、11666、11811)。攻擊者利用漏洞可獲得APP OSS的控制權，進而遠程獲取云存儲數據，并擁有創(chuàng)建、刪除、上傳、下載等操作權限，對相關APP服務運營方構成較為嚴重的信息泄露和運行安全風險。

        一、漏洞情況分析

        阿里云對象存儲服務(Object Storage Service,簡稱OSS)，是阿里云對外提供的海量、安全和高可靠的云存儲服務。在阿里云官方文檔中明確指出：“移動終端是一個不受信任的環(huán)境，把accessKeyId和accessKeySecret直接保存在終端用來加簽請求，存在極高的風險?！?，同時阿里云在示例代碼中也給出相應的警告信息，示例代碼如下：

圖 官網OSS憑證信息示例代碼

        根據CNVD秘書處核驗結果，一些集成了阿里云OSS的Android平臺APP在使用SDK的時候只是簡單復制了阿里云OSS官方測試demo代碼，并未根據官方建議對訪問控制策略進行設置，直接將accessKeyId和accessKeySecre內置在移動應用程序。攻擊者通過對APP進行脫殼逆分析可獲得這組憑證后，利用OSS管理工具（ossutil）可以遠程獲取其云存儲的數據，并擁有對該OSS的控制權。

        CNVD對相關漏洞綜合評級為“高?！薄?

        二、漏洞影響范圍

        漏洞影響使用阿里云OSS且未按官方安全策略開發(fā)的移動應用APP。根據上海犇眾公司報告和CNVD核驗情況，已有8款應用較為廣泛的APP受到漏洞影響的案例。CNVD已向相關APP開發(fā)方或運營管理方通報漏洞信息，并將風險情況通報阿里云公司。

        三、漏洞修復建議

        根據阿里云公司提供的技術措施，APP管理方應啟用阿里云權限管理機制包括訪問控制（Resource Access Management，簡稱 RAM）和安全憑證管理（Security Token Service，簡稱 STS），根據需求使用不同權限的子賬號來訪問OSS，或為用戶提供訪問的臨時授權。主要的訪問控制策略如下：

?    不使用主賬號訪問OSS；

?    讀寫分離；

?     Bucket權限隔離；

?    使用STS的臨時憑證來訪問OSS。

        詳情請參考阿里云官方提供的安全開發(fā)建議：

        https://m.aliyun.com/doc/document_detail/31929.html

        https://m.aliyun.com/yunqi/articles/55947

        https://m.aliyun.com/doc/document_detail/31929.html 

        https://m.aliyun.com/doc/document_detail/28642.html  

        附：參考鏈接：

        https://help.aliyun.com/document_detail/32044.html?spm=5176.doc32010.6.688.mqlbpr （阿里云官方對于aliyun OSS Android SDK的開發(fā)說明文檔）