Τα τελευταία 10 χρόνια, η δημοτικότητα των υπηρεσιών Cloud έχει αυξηθεί απότομα. Πιθανότατα χρησιμοποιείτε το ίδιο iCloud, το Google Disk ή το Yandex.Disk να μην κάνετε μια θέση σε υπολογιστή ή iPhone. Ιδιαίτερα βολική ότι πολλές εφαρμογές σας επιτρέπουν να αποθηκεύετε δεδομένα στο σύννεφο. Αλλά, όπως αποδείχθηκε, τέτοιες εφαρμογές είναι συχνά κενές σχετίζονται με την ασφάλεια αυτών των χρηστών. Το Zimperium, το οποίο ασχολείται με την ασφάλεια της κινητής τηλεφωνίας, διαπιστώθηκε ότι δεκάδες χιλιάδες εφαρμογές Ίου και Android χρησιμοποιούν εσφαλμένες διαμορφώσεις υπηρεσίας σύννεφων, λόγω των οποίων τα δεδομένα χρήστη μπορούν να φορτώσουν σχεδόν οποιαδήποτε.
Οι ειδικοί της ασφάλειας των πληροφοριών διεξήγαγαν αυτόματη ανάλυση άνω των 1,3 εκατομμυρίων αιτήσεων για το Android και το iOS για τον εντοπισμό κοινών λανθασμένων διαμορφώσεων Cloud που ανοίγουν πρόσβαση στα δεδομένα χρήστη. Οι ερευνητές ανακάλυψαν περίπου 84.000 εφαρμογές Android και σχεδόν 47.000 iOS εφαρμογές που χρησιμοποιούν δημόσιες υπηρεσίες Cloud, όπως οι υπηρεσίες Web Amazon, το Google Cloud ή το Microsoft Azure, και όχι τους δικούς του διακομιστές. Από αυτούς, οι ερευνητές αποκάλυψαν εσφαλμένες διαμορφώσεις στο 14% του συνολικού αριθμού των προγραμμάτων - αυτή είναι 11.877 αιτήσεις για εφαρμογές Android και 6 608 iOS εφαρμογές. Τα δεδομένα εφαρμογής αποκαλύπτουν προσωπικές πληροφορίες σχετικά με τους χρήστες, τους κωδικούς πρόσβασης και ακόμη και τις ιατρικές πληροφορίες, γράφει ενσύρματο.
Σύμφωνα με τους ειδικούς, πολλές από αυτές τις εφαρμογές έχουν ένα θολό αποθετήριο, το οποίο δεν έχει ρυθμιστεί σωστά από τον προγραμματιστή ή σε οποιονδήποτε άλλο, και εξαιτίας αυτού, οι χρήστες των χρηστών είναι ορατές σε σχεδόν κανέναν.
Νέα ευπάθεια εφαρμογής στο App Store
Οι ερευνητές άσκησαν προσφυγή σε πολλές εφαρμογές προγραμματιστές, στις οποίες βρήκαν τρωτά σημεία σύννεφων, αλλά, σύμφωνα με αυτούς, απαντήθηκαν πολύ λίγες και οι περισσότερες εφαρμογές συνεχίζουν να χρησιμοποιούν ανοιχτά δεδομένα. Δυστυχώς, το Zimperium δεν καλεί τις επηρεασμένες εφαρμογές στην έκθεσή τους. Επιπλέον, οι ερευνητές δεν μπορούν να ειδοποιήσουν αμέσως δεκάδες χιλιάδες προγραμματιστές.
Οι υπηρεσίες που θεωρούν καλύπτουν ένα ευρύ φάσμα: από εφαρμογές με αρκετούς χιλιάδες χρήστες πριν από τις εφαρμογές με αρκετά εκατομμύρια.
Μία από αυτές τις εφαρμογές είναι ένα κινητό πορτοφόλι από την εταιρεία από τη λίστα Fortune 500, η οποία παρέχει κάποιες πληροφορίες σχετικά με τις συνεδρίες των χρηστών και τα οικονομικά δεδομένα. Ένα άλλο παράδειγμα είναι μια εφαρμογή μεταφοράς όπου οι πληρωμές αποθηκεύονται στην ανοικτή μορφή. Οι ερευνητές ανακάλυψαν επίσης ανοιχτές ιατρικές εφαρμογές με αποτελέσματα δοκιμών και ακόμη και εικόνες προφίλ χρηστών.
Η Εταιρεία δεν έχει ακόμη μπορέσει να εκτιμήσει κατά πόσον οι επιτιθέμενοι βρήκαν τυχόν τρωτά σημεία από αυτά που βρέθηκαν από εμπειρογνώμονες. Αλλά σημειώνεται ότι θα είναι εύκολο να βρεθούν χρησιμοποιώντας τις ίδιες διαθέσιμες πληροφορίες που χρησιμοποιούνται το Zimperium στην έρευνά τους. Οι ομάδες χάκερ εφαρμόζουν ήδη αυτόν τον τύπο σάρωσης για να βρείτε εσφαλμένες διαμορφώσεις σύννεφων στις υπηρεσίες Web. Επιπλέον, οι ερευνητές διαπίστωσαν ότι ορισμένες λανθασμένες διαμορφώσεις επιτρέπουν στους επιτιθέμενους να αλλάξουν ή να αντικαταστήσουν τα δεδομένα.
Επίσης στο θέμα: iOS 14 hacked και το έδειξε στο βίντεο
Πώς να εξασφαλίσετε τα δεδομένα σας;
Οι κύριοι πάροχοι υπηρεσιών σύννεφων, όπως ο Amazon, έχουν ήδη καταβάλει προσπάθειες για την ανίχνευση πιθανών εσφαλμένων διαμορφώσεων και θα αποτρέψουν τους πελάτες γι 'αυτούς, αλλά εξακολουθούν να εξαρτώνται από τους προγραμματιστές, καθώς είναι απαραίτητο να εξαλειφθούν αυτά τα τρωτά σημεία.
Φαίνεται πολλές υπηρεσίες, συμπεριλαμβανομένων μεγάλων, έχουν σοβαρά προβλήματα με την ασφάλεια των δεδομένων σύννεφων. Λυπούμαστε, δεν γνωρίζουμε ακόμη τα συγκεκριμένα ονόματα τέτοιων εφαρμογών, αλλά νομίζω ότι αυτές οι πληροφορίες θα εμφανιστούν σύντομα.