Durant els darrers deu anys, la popularitat dels serveis de núvol ha crescut bruscament. Probablement utilitzeu el mateix iCloud, el disc de Google o Yandex.Disk per no prendre un lloc en un ordinador o iPhone. Especialment convenient que moltes aplicacions us permeten emmagatzemar dades al núvol. Però, com va resultar, aquestes aplicacions sovint estan buides relacionades amb la seguretat d'aquests usuaris. Zimperium, que es dedica a la seguretat mòbil, va trobar que desenes de milers d'aplicacions iOS i Android utilitzen configuracions de servei de núvol incorrectes, a causa de les quals les dades d'usuari poden carregar gairebé qualsevol.
Els especialistes en seguretat de la informació van realitzar una anàlisi automàtica de més de 1,3 milions d'aplicacions per a Android i IOS per identificar configuracions comunes de núvol incorrectes que obren accés a les dades de l'usuari. Els investigadors han descobert prop de 84.000 aplicacions Android i gairebé 47.000 aplicacions iOS que utilitzen serveis de núvols públics, com ara serveis web d'Amazon, Google Cloud o Microsoft Azure, i no els seus propis servidors. D'aquests, els investigadors van revelar configuracions incorrectes al 14% del nombre total de programes: es tracta de 11.877 aplicacions per a aplicacions Android i 6 608 iOS. Les dades d'aplicació es divulquen informació personal d'usuaris, contrasenyes i fins i tot informació mèdica, escriu amb cable.
Segons els experts, moltes d'aquestes aplicacions tenen un repositori ennuvolat, que no estava configurat correctament pel desenvolupador o qualsevol altra persona, i per això, els usuaris d'usuaris són visibles a gairebé qualsevol.
Nova vulnerabilitat d'aplicacions a l'App Store
Els investigadors van apel·lar a diversos desenvolupadors d'aplicacions en què van trobar vulnerabilitats del núvol, però, segons ells, van ser contestades molt poques, i la majoria de les aplicacions continuen utilitzant dades obertes. Malauradament, Zimperium no truca aplicacions afectades al seu informe. A més, els investigadors no poden notificar a desenes de milers de desenvolupadors immediatament.
Els serveis que han considerat cobreixen una àmplia gamma: des de les aplicacions amb diversos milers d'usuaris abans de les aplicacions amb diversos milions.
Una d'aquestes aplicacions és una cartera mòbil de l'empresa de la llista Fortune 500, que proporciona informació sobre sessions d'usuari i dades financeres. Un altre exemple és una aplicació de transport on els pagaments s'emmagatzemen a la forma oberta. Els investigadors també van descobrir aplicacions mèdiques obertes amb resultats de proves i fins i tot imatges de perfils d'usuari.
La companyia encara no ha estat capaç d'estimar si els atacants han trobat les vulnerabilitats dels experts que han trobat els experts. Però es nota que seran fàcils de trobar utilitzant la mateixa informació disponible públicament que Zimperium utilitzada en la seva recerca. Els grups hacker ja implementen aquest tipus d'exploració per trobar configuracions de núvols incorrectes en serveis web. A més, els investigadors van trobar que algunes configuracions incorrectes permeten als atacants canviar o sobreescriure les dades.
També sobre el tema: IOS 14 piratejat i ho va mostrar en vídeo
Com assegurar les vostres dades?
Els principals proveïdors de serveis de núvols, com Amazon, ja han fet esforços per detectar possibles configuracions incorrectes i evitar als clients sobre ells, però encara depèn molt dels desenvolupadors, ja que és necessari per eliminar aquestes vulnerabilitats.
Sembla que molts serveis, incloent-hi grans, tenen problemes greus amb la seguretat de les dades del núvol. Ho sentim, encara no coneixem els noms específics d'aquestes aplicacions, però crec que aquesta informació aviat apareixerà.