През последните 10 години популярността на облачните услуги рязко нарасна. Вероятно използвате същия iCloud, Google Disk или Yandex.Disk, за да не правите място на компютър или iPhone. Особено удобно, че много приложения ви позволяват да съхранявате данни в облака. Но, както се оказа, такива приложения често са празни, свързани със сигурността на тези потребители. Zimperium, който се занимава с мобилна сигурност, установи, че десетки хиляди iOS и Android приложения използват неправилни конфигурации за обслужване на облака, поради което потребителските данни могат да заредят почти всеки.
Специалистите по информационна сигурност проведоха автоматичен анализ на повече от 1,3 милиона приложения за Android и IOS за идентифициране на общи неправилни облачни конфигурации, които отварят достъп до потребителски данни. Изследователите са открили около 84 000 приложения за Android и почти 47 000 IOS приложения, които използват обществени облачни услуги, като уеб услуги на Amazon, Google Cloud или Microsoft Azure, а не собствените си сървъри. От тях изследователите разкриха неправилни конфигурации при 14% от общия брой програми - това е 11,877 приложения за Android и 6 608 IOS приложения. Данните за приложение разкриват лична информация за потребителите, паролите и дори медицинската информация, пише кабелни.
Според експерти много от тези приложения имат облачно хранилище, което не е правилно конфигурирано от предприемача или някой друг, и поради това, потребителите на потребителите са видими за почти всеки.
Нова уязвимост на приложението в App Store
Изследователите обжалват няколко разработчици на приложения, в които са намерили уязвимости в облака, но според тях са отговорили много малко и повечето приложения продължават да използват отворени данни. За съжаление, Zimperium не се нарича засегнати приложения в доклада си. Освен това изследователите незабавно не могат да уведомят десетки хиляди разработчици.
Услугите, които са смятали за покриване на широк диапазон: от приложения с няколко хиляди потребители преди приложения с няколко милиона.
Едно от тези приложения е мобилен портфейл от компанията от списъка Fortune 500, който предоставя информация за потребителските сесии и финансови данни. Друг пример е транспортното приложение, където плащанията се съхраняват в отворената форма. Изследователите също откриха отворени медицински приложения с резултати от тестове и дори изображения на потребителски профили.
Компанията все още не е успяла да прецени дали нападателите са намерили никакви уязвимости от тези, намерени от експерти. Но се отбелязва, че те ще бъдат лесни за намиране на същата публично достъпна информация, която Zimperium използва в техните изследвания. Хакерските групи вече прилагат този тип сканиране, за да намерите неправилни облачни конфигурации в уеб услугите. Освен това изследователите установиха, че някои неправилни конфигурации позволяват нападателите да променят или презаписват данните.
Също така на темата: ios 14 хакнат и го показа на видео
Как да защитите данните си?
Основните доставчици на облачни услуги, като Amazon, вече са положили усилия за откриване на възможни неправилни конфигурации и предотвратяване на клиентите за тях, но все още много зависи от разработчиците, тъй като е необходимо да се премахнат тези уязвимости.
Изглежда много услуги, включително големи, имат сериозни проблеми с безопасността на облачните данни. Съжаляваме, все още не знаем конкретните имена на такива приложения, но мисля, че тази информация скоро ще се появи.