Dum la pasintaj 10 jaroj, la populareco de nubaj servoj akre kreskis. Vi probable uzas la saman iCloud, Google Disk aŭ Yandex.Disk ne preni lokon sur komputilo aŭ iPhone. Speciale konvene ke multaj aplikaĵoj permesas vin konservi datumojn en la nubo. Sed, kiel rezultis, tiaj aplikoj ofte estas malplenaj rilatas al la sekureco de ĉi tiuj uzantoj. Zimperium, kiu estas engaĝita en movebla sekureco, trovis ke dekoj da miloj da iOS kaj Android-aplikaĵoj uzas malĝustajn nubajn servajn agordojn, pro kiuj uzanto-datumoj povas ŝarĝi preskaŭ ĉiujn.
Informaj sekurecaj specialistoj efektivigis aŭtomatan analizon de pli ol 1.3 milionoj da aplikoj por Android kaj iOS por identigi komunajn malĝustajn nubajn agordojn, kiuj malfermas aliron al uzanto-datumoj. Esploristoj malkovris ĉirkaŭ 84.000 Android-aplikaĵojn kaj preskaŭ 47.000 iOS-aplikaĵojn, kiuj uzas publikajn servojn, kiel ekzemple Amazona TTT-servoj, Google Cloud aŭ Microsoft Azure, kaj ne ĝiaj propraj serviloj. De ĉi tiuj, la esploristoj malkaŝis malĝustajn agordojn je 14% de la tuta nombro de programoj - ĉi tio estas 11.877 aplikoj por Android kaj 6 608 iOS-aplikaĵoj. Aplikoj datumoj malkaŝi personajn informojn de uzantoj, pasvortoj kaj eĉ medicina informo, skribas Wired.
Laŭ spertuloj, multaj el ĉi tiuj aplikaĵoj havas nuban deponejon, kiu ne estis konvene agordita de la ellaboranto aŭ iu alia, kaj pro tio, uzantoj de uzantoj videblas al preskaŭ iu ajn.
Nova aplikaĵa vulnereco en App Store
La esploristoj apelaciis al pluraj programistoj de aplikaĵoj, en kiuj ili trovis nulajn vundeblojn, sed laŭ ili, ili estis responditaj tre malmultaj, kaj plej multaj aplikaĵoj daŭre uzas malfermajn datumojn. Bedaŭrinde, Zimperium ne nomas tuŝitajn aplikojn en sia raporto. Krome, esploristoj ne povas sciigi tuj dek milojn da programistoj.
La servoj kiujn ili konsideris kovri larĝan gamon: de aplikoj kun pluraj mil uzantoj antaŭ aplikoj kun pluraj milionoj.
Unu el ĉi tiuj aplikoj estas movebla monujo de la kompanio de la listo de Fortune 500, kiu provizas kelkajn informojn pri uzanto-sesioj kaj financaj datumoj. Alia ekzemplo estas transporta apliko, kie la pagoj estas konservitaj en la malferma formo. Esploristoj ankaŭ malkovris malfermajn medicinajn aplikaĵojn kun testaj rezultoj kaj eĉ bildoj de uzanto-profiloj.
La kompanio ankoraŭ ne povis taksi ĉu la atakantoj trovis ajnajn vundeblojn de tiuj trovitaj de spertuloj. Sed oni notas, ke ili estos facile troveblaj uzante la samajn publikajn disponeblajn informojn, kiujn Zimperium uzis en sia esplorado. Hacker-grupoj jam efektivigas ĉi tiun specon de skanado por trovi malĝustajn nubajn agordojn en interretaj servoj. Krome, la esploristoj trovis, ke iuj malĝustaj agordoj permesas al atakantoj ŝanĝi aŭ anstataŭigi la datumojn.
Ankaŭ pri la temo: iOS 14 hakita kaj montris ĝin en video
Kiel certigi viajn datumojn?
La ĉefaj provizantoj de Cloud Service, kiel Amazon, jam faris penojn por detekti eblajn malĝustajn agordojn kaj malhelpi klientojn pri ili, sed ankoraŭ multe dependas de la programistoj, ĉar necesas forigi ĉi tiujn vundeblecojn.
Ŝajnas, ke multaj servoj, inkluzive grandajn, havas gravajn problemojn pri la sekureco de nubaj datumoj. Pardonu, ni ankoraŭ ne konas la specifajn nomojn de tiaj aplikoj, sed mi pensas, ke ĉi tiu informo baldaŭ aperos.