За останні 10 років популярність хмарних сервісів для зберігання даних різко зросла. Ви напевно теж використовуєте той же iCloud, Google Диск або Яндекс.Діск, щоб не займати місце на комп'ютері або айфоне. Тим більше зручно, що багато програм дозволяють зберігати дані в хмарі. Але, як з'ясувалося, такі додатки часто байдуже ставляться до безпеки даних своїх користувачів. Компанія Zimperium, яка займається мобільного безпекою, виявила, що десятки тисяч додатків iOS і Android використовують неправильні конфігурації роботи хмарних сервісів, через що дані користувачів може завантажити майже будь-хто.
Фахівці з інформаційної безпеки провели автоматичний аналіз понад 1,3 мільйона додатків для Android і iOS, щоб виявити поширені неправильні конфігурації хмари, які відкривають доступ до даних користувачів. Дослідники виявили близько 84 000 додатків для Android і майже 47 000 додатків для iOS, які використовують загальнодоступні хмарні сервіси, такі як Amazon Web Services, Google Cloud або Microsoft Azure, а не власні сервери. З них дослідники виявили неправильні конфігурації в 14% від загального числа програм - це 11 877 додатків для Android і 6 608 додатків для iOS. Дані програми розкривають особисту інформацію користувачів, паролі і навіть медичні відомості, пише Wired.
Як відзначають експерти, багато хто з цих додатків мають хмарне сховище, яке не було належним чином налаштовано розробником або ким-небудь ще, і через це дані користувачів видно практично будь-кому.
Нова уразливість додатків в App Store
Дослідники звернулися до кількох розробникам додатків, в яких вони виявили уразливості хмари, але, за їхніми словами, їм відповіли далеко не всі, і більшість додатків продовжують використовувати відкриті дані. На жаль, Zimperium не називає порушені додатки в своєму звіті. Крім того, дослідники не можуть повідомити відразу десятки тисяч розробників.
Сервіси, які вони розглядали, охоплюють широкий діапазон: від додатків з декількома тисячами користувачів до додатків з декількома мільйонами.
Одне з таких додатків - це мобільний гаманець від компанії зі списку Fortune 500, який надає деяку інформацію про користувача сеансах і фінансові дані. Інший приклад - транспортний додаток, де у відкритому вигляді зберігаються дані про платежі. Дослідники також виявили відкриті медичні програми з результатами тестів і навіть зображення профілів користувачів.
Компанія поки не змогла оцінити, виявили зловмисники будь-які уразливості зі знайдених експертами. Але відзначається, що їх буде легко знайти, використовуючи ту ж загальнодоступну інформацію, яку Zimperium використовувала в своїх дослідженнях. Хакерські групи вже здійснюють цей тип сканування, щоб знайти неправильні конфігурації хмари в веб-сервісах. Додатково до всього, дослідники виявили, що деякі неправильні конфігурації дозволяють зловмисникам змінювати або перезаписувати дані.
Також по темі: iOS 14 зламали і показали це на відео
Як убезпечити свої дані?
Основні постачальники хмарних послуг, такі як Amazon, вже зробили зусилля по виявленню можливих неправильних конфігурацій і попередження клієнтів про них, але все одно багато що залежить від розробників, оскільки усунути ці вразливості повинні саме вони.
Схоже, багато сервісів, в тому числі великі, мають серйозні проблеми з безпекою хмарних даних. Шкода, ми поки не знаємо конкретні назви таких додатків, але я думаю, ця інформація скоро спливе.