Během posledních 10 let se popularita cloudových služeb prudce rozrostla. Pravděpodobně používáte stejný Icloud, Google disk nebo yandex.disk, aby se místo na počítači ani iPhone. Zvláště výhodné, že mnoho aplikací umožňuje ukládat data v oblaku. Ale jak se ukázalo, takové aplikace jsou často prázdné vztahují se k bezpečnosti těchto uživatelů. Zimperium, který se zabývá mobilním zabezpečením, zjištěno, že desítky tisíc aplikací iOS a Android používají nesprávné konfigurace služby Cloud Service, díky které uživatelská data mohou načíst téměř všechny.
Informační bezpečnostní specialisté provedli automatickou analýzu více než 1,3 milionu aplikací pro Android a IOS pro identifikaci běžných nesprávných cloudových konfigurací, které otevírají přístup k uživatelským datům. Výzkumníci objevili asi 84 000 Android aplikací a téměř 47 000 aplikací iOS, které používají veřejné cloudové služby, jako jsou služby Amazon Web Services, Google Cloud nebo Microsoft Azure, a ne jeho vlastní servery. Z toho výzkumníci odhalili nesprávné konfigurace na 14% z celkového počtu programů - to je 11,877 aplikací pro Android a 6 608 IOS aplikace. Údaje o aplikaci popisují osobní údaje uživatelů, hesel a dokonce i lékařských informací, zapisují.
Podle odborníků má mnoho z těchto aplikací zamračený úložiště, které nebyly správně nakonfigurovány vývojářem nebo kdokoliv jiným jiným, a z toho, že uživatelé uživatelů jsou viditelné pro téměř nikomu.
Nová chyba zabezpečení aplikace v App Store
Výzkumníci odvolali k několika vývojářům aplikací, ve kterých našli mraky zranitelnosti, ale podle nich byly zodpovězeny jen velmi málo a většina aplikací pokračuje v používání otevřených dat. Zimperium bohužel nezavolá postižené žádosti ve své zprávě. Kromě toho výzkumníci nemohou okamžitě informovat desítky tisíc vývojářů.
Služby, které považují za krytí široký rozsah: z aplikací s několika tisíci uživateli před aplikací s několika miliony.
Jedním z těchto aplikací je mobilní peněženka od společnosti z seznamu Fortune 500, který poskytuje některé informace o relacích uživatelů a finančních datech. Dalším příkladem je dopravní aplikace, kde jsou platby uloženy v otevřeném formuláři. Výzkumníci také objevili otevřené lékařské aplikace s výsledky testů a dokonce obrazy uživatelských profilů.
Společnost dosud nebyla schopna odhadnout, zda útočníci našli nějaké zranitelnosti z těch, které byly nalezeny odborníky. Je však třeba poznamenat, že budou snadné najít stejnou veřejně dostupnou informaci, které Zimperium používané ve svém výzkumu. Skupiny hackerů již implementují tento typ skenování, abyste našli nesprávné konfigurace cloud ve webových službách. Kromě toho vědci zjistili, že některé nesprávné konfigurace umožňují útočníkům změnit nebo přepsat data.
Také na téma: ios 14 hacknut a ukázal ho na videu
Jak zajistit data?
Hlavní poskytovatelé cloudových služeb, jako je Amazon, již učinili úsilí o zjištění možných nesprávných konfigurací a zabránili tomu, aby zákazníci o nich, ale stále mnoho závisí na vývojářům, protože je nutné tyto chyby zabezpečení eliminovat.
Zdá se, že mnoho služeb, včetně velkých, mají vážné problémy s bezpečností cloudových dat. Je nám líto, že ještě nevíte konkrétní názvy takových aplikací, ale myslím, že tyto informace budou brzy vyskočit.