За апошнія 10 гадоў папулярнасць хмарных сэрвісаў для захоўвання дадзеных рэзка вырасла. Вы напэўна таксама карыстаецеся той жа iCloud, Google Дыск або Яндекс.Диск, каб не займаць месца на кампутары або айфоне. Тым больш зручна, што многія прыкладання дазваляюць захоўваць дадзеныя ў воблаку. Але, як высветлілася, такія прыкладання часцяком наплявацельску ставяцца да бяспекі дадзеных сваіх карыстальнікаў. Кампанія Zimperium, якая займаецца мабільнай бяспекай, выявіла, што дзясяткі тысяч прыкладанняў iOS і Android выкарыстоўваюць няправільныя канфігурацыі працы хмарных сэрвісаў, з-за чаго дадзеныя карыстальнікаў можа загрузіць амаль любы.
Спецыялісты па інфармацыйнай бяспекі правялі аўтаматычны аналіз больш за 1,3 мільёна прыкладанняў для Android і iOS, каб выявіць распаўсюджаныя няправільныя канфігурацыі аблокі, якія адкрываюць доступ да дадзеных карыстальнікаў. Даследнікі выявілі каля 84 000 прыкладанняў для Android і амаль 47 000 прыкладанняў для iOS, якія выкарыстоўваюць агульнадаступныя хмарныя сэрвісы, такія як Amazon Web Services, Google Cloud або Microsoft Azure, а не ўласныя серверы. З іх даследчыкі выявілі няправільныя канфігурацыі ў 14% ад агульнай колькасці праграм - гэта 11 877 прыкладанняў для Android і 6 608 прыкладанняў для iOS. Дадзеныя прыкладання раскрываюць асабістую інфармацыю карыстальнікаў, паролі і нават медыцынскія звесткі, піша Wired.
Як адзначаюць эксперты, многія з гэтых прыкладанняў маюць хмарнае сховішча, якое не было належным чынам наладжана распрацоўшчыкам або кім-небудзь яшчэ, і з-за гэтага дадзеныя карыстальнікаў бачныя практычна любому.
Новая ўразлівасць прыкладанняў у App Store
Даследчыкі звярнуліся да некалькіх распрацоўнікам прыкладанняў, у якіх яны выявілі ўразлівасці аблокі, але, па іх словах, ім адказалі вельмі нешматлікія, і большасць прыкладанняў працягваюць выкарыстоўваць адкрытыя дадзеныя. На жаль, Zimperium не называе закранутыя прыкладання ў сваёй справаздачы. Акрамя таго, даследчыкі не могуць паведаміць адразу дзясяткі тысяч распрацоўнікаў.
Сэрвісы, якія яны разглядалі, ахопліваюць шырокі дыяпазон: ад прыкладанняў з некалькімі тысячамі карыстальнікаў да прыкладанняў з некалькімі мільёнамі.
Адно з такіх прыкладанняў - гэта мабільны кашалёк ад кампаніі з спісу Fortune 500, які дае некаторую інфармацыю аб карыстацкіх сеансах і фінансавыя дадзеныя. Іншы прыклад - транспартны дадатак, дзе ў адкрытым выглядзе захоўваюцца дадзеныя пра плацяжы. Даследнікі таксама выявілі адкрытыя медыцынскія прыкладання з вынікамі тэстаў і нават выявы профіляў карыстальнікаў.
Кампанія пакуль не змагла ацаніць, выявілі Ці зламыснікі якія-небудзь уразлівасці са знойдзеных экспертамі. Але адзначаецца, што іх будзе лёгка знайсці, выкарыстоўваючы тую ж агульнадаступную інфармацыю, якую Zimperium выкарыстоўвала ў сваіх даследаваннях. Хакерскія групы ўжо ажыццяўляюць гэты тып сканавання, каб знайсці няправільныя канфігурацыі воблака ў вэб-сэрвісах. У дадатак да ўсяго, даследчыкі выявілі, што некаторыя няправільныя канфігурацыі дазваляюць зламыснікам змяняць або перазапісваць дадзеныя.
Таксама па тэме: iOS 14 ўзламалі і паказалі гэта на відэа
Як засцерагчы свае дадзеныя?
Асноўныя пастаўшчыкі хмарных паслуг, такія як Amazon, ужо распачалі намаганні па выяўленні магчымых няправільных канфігурацый і папярэджанні кліентаў пра іх, але ўсё роўна шмат што залежыць ад распрацоўшчыкаў, паколькі ліквідаваць гэтыя ўразлівасці павінны менавіта яны.
Падобна на тое, многія сэрвісы, у тым ліку буйныя, маюць сур'ёзныя праблемы з бяспекай хмарных дадзеных. Шкада, мы пакуль не ведаем канкрэтныя назвы такіх прыкладанняў, але я думаю, гэтая інфармацыя хутка ўсплыве.