Oor die afgelope 10 jaar het die gewildheid van wolkdienste skerp gegroei. Jy gebruik waarskynlik dieselfde iCloud, Google Disk of Yandex.Disk om nie op 'n rekenaar of iPhone 'n plek op te neem nie. Veral gerieflik dat baie aansoeke jou toelaat om data in die wolk te stoor. Maar soos dit blyk, is sulke aansoeke dikwels leeg met die sekuriteit van hierdie gebruikers. Zimperium, wat in mobiele sekuriteit betrokke is, het bevind dat tienduisende iOS en Android-toepassings foutiewe wolkdiens konfigurasies gebruik, as gevolg van watter gebruikersdata byna enige kan laai.
Inligtingsekuriteitspesialiste het 'n outomatiese analise van meer as 1,3 miljoen aansoeke vir Android en IOS gedoen om algemene verkeerde wolkkonfigurasies te identifiseer wat toegang tot gebruikersdata oopmaak. Navorsers het ongeveer 84,000 Android-toepassings en bykans 47,000 iOS-toepassings ontdek wat openbare wolkdienste gebruik, soos Amazon Web Services, Google Cloud of Microsoft Azure, en nie sy eie bedieners nie. Hiervan het die navorsers foutiewe konfigurasies op 14% van die totale aantal programme geopenbaar - dit is 11.877 aansoeke vir Android en 6 608 IOS-toepassings. Aansoek data openbaar persoonlike inligting van gebruikers, wagwoorde en selfs mediese inligting, skryf bedraad.
Volgens kenners het baie van hierdie aansoeke 'n bewolkte bewaarplek, wat nie behoorlik deur die ontwikkelaar of enigiemand anders gekonfigureer is nie, en daarom is gebruikers van gebruikers sigbaar vir byna enigiemand.
Nuwe aansoek kwesbaarheid in die App Store
Die navorsers het 'n beroep gedoen op verskeie toepassingsontwikkelaars waarin hulle wolk kwesbaarhede gevind het, maar volgens hulle is hulle baie min beantwoord, en die meeste toepassings gebruik oop data. Ongelukkig noem Zimperium nie geaffekteerde programme in hul verslag nie. Daarbenewens kan navorsers nie dadelik tienduisende ontwikkelaars in kennis stel nie.
Die dienste wat hulle oorweeg het, dek 'n wye reeks: van aansoeke met 'n paar duisend gebruikers voor aansoeke met 'n paar miljoene.
Een van hierdie toepassings is 'n mobiele beursie van die maatskappy vanaf die Fortune 500-lys, wat inligting verskaf oor gebruikersessies en finansiële data. Nog 'n voorbeeld is 'n vervoerprogram waar die betalings in die oop vorm gestoor word. Navorsers het ook oop mediese toepassings ontdek met toetsuitslae en selfs beelde van gebruikersprofiele.
Die maatskappy het nog nie in staat om te skat of die aanvallers enige kwesbaarhede van dié van kundiges gevind het nie. Maar dit word opgemerk dat hulle maklik sal wees om te vind met dieselfde openbare beskikbare inligting wat Zimperium in hul navorsing gebruik het. Hacker-groepe implementeer reeds hierdie tipe skandering om foutiewe wolkkonfigurasies in webdienste te vind. Daarbenewens het die navorsers bevind dat sommige foutiewe konfigurasies toelaat dat aanvallers die data verander of oorskryf.
Ook oor die onderwerp: IOS 14 Hacked en het dit op video gewys
Hoe om jou data te verseker?
Die hoofwolkdiensverskaffers, soos Amazon, het reeds pogings aangewend om moontlike verkeerde konfigurasies op te spoor en kliënte oor hulle te voorkom, maar dit hang nog baie af van die ontwikkelaars, aangesien dit nodig is om hierdie kwesbaarhede uit te skakel.
Dit lyk baie dienste, insluitend groot, het ernstige probleme met die veiligheid van wolkdata. Jammer, ons ken nog nie die spesifieke name van sulke aansoeke nie, maar ek dink hierdie inligting sal binnekort opduik.