U posljednjih 10 godina popularnost oblačnih usluga oštro je porasla. Vjerovatno koristite isti ICloud, Google disk ili Yandex.disk da ne preuzmete mjesto na računaru ili iPhoneu. Posebno prikladno da mnoge aplikacije omogućuju pohranjivanje podataka u oblak. Ali, kako se ispostavilo, takve su aplikacije često prazne odnose se na sigurnost tih korisnika. Zimperium, koji se bavi mobilnom sigurnost, ustanovio je da desetine hiljada IOS-a i Android aplikacija koriste pogrešne konfiguracije u oblaku usluge, zbog kojih se korisnički podaci mogu gotovo sve opteretiti.
Specijalisti za informacije o sigurnosti proveli su automatsku analizu više od 1,3 milijuna prijava za Android i IOS za identifikaciju uobičajenih pogrešnih konfiguracija u oblaku koje otvaraju pristup korisničkim podacima. Istraživači su otkrili oko 84 000 Android aplikacija i gotovo 47.000 IOS aplikacija koje koriste javne usluge oblaka, poput Amazon Web Services, Google Cloud ili Microsoft Azure, a ne vlastiti poslužitelji. Od toga su istraživači otkrili pogrešne konfiguracije u 14% od ukupnog broja programa - ovo je 11.877 aplikacija za Android i 6 608 iOS aplikacije. Podaci o aplikaciji otkrivaju lične podatke korisnika, lozinke, pa čak i medicinske informacije, piše ožičene.
Prema riječima stručnjaka, mnoge od ovih aplikacija imaju oblačno skladište, kojeg programer ili bilo koji drugi nisu pravilno konfigurirali, a zbog toga su korisnici korisnika vidljivi gotovo svima.
Nova ranjivost aplikacije u App Storeu
Istraživači su se žalio na nekoliko programera aplikacija u kojima su našli oblačne ranjivosti, ali, prema njima, odgovoreno su vrlo malo, a većina aplikacija i dalje koristi otvorene podatke. Nažalost, Zimperium ne poziva na zahteve zahteve u svom izveštaju. Pored toga, istraživači ne mogu odmah obavijestiti desetine hiljada programera.
Usluge koje su razmotrile pokrivaju širok raspon: od aplikacija sa nekoliko hiljada korisnika prije aplikacija sa nekoliko miliona.
Jedna od tih aplikacija je mobilni novčanik iz kompanije sa liste Fortune 500, koji pruža neke informacije o korisničkim sesijama i financijskim podacima. Drugi primjer je transportna primjena u kojoj se plaćanja pohranjuju u otvoreni obrazac. Istraživači su također otkrili otvorene medicinske aplikacije sa rezultatima ispitivanja, pa čak i slikama korisničkih profila.
Kompanija još nije uspjela procijeniti jesu li napadači pronašli bilo kakve ranjivosti od onih koji su pronašli stručnjaci. Ali napomenuto je da će biti lako pronaći koristeći iste javno dostupne informacije koje su zimperium koristili u njihovom istraživanju. Hakerski grupe već implementiraju ovu vrstu skeniranja kako bi pronašli pogrešne konfiguracije u oblaku u web uslugama. Pored toga, istraživači su otkrili da neke pogrešne konfiguracije omogućuju napadačima da promijene ili prebrišu podatke.
Takođe na temu: IOS 14 se hakirao i pokazao ga na video
Kako osigurati svoje podatke?
Glavni davatelji usluga u oblaku, poput Amazona, već su napori dali napore da otkrijem moguće pogrešne konfiguracije i sprečavaju kupce o njima, ali još uvijek mnogo ovisi o programerima, jer je potrebno eliminirati ove ranjivosti.
Čini se mnogo usluga, uključujući velike, imaju ozbiljne probleme sa sigurnošću podataka o oblaku. Izvinite, još ne znamo specifična imena takvih aplikacija, ali mislim da će se ove informacije uskoro pojaviti.