En los últimos 10 años, la popularidad de los servicios en la nube ha crecido considerablemente. Probablemente use el mismo icloud, Google Disk o Yandex.Disk no para tomar un lugar en una computadora o iPhone. Especialmente conveniente que muchas aplicaciones le permitan almacenar datos en la nube. Pero, como resultó, tales aplicaciones a menudo están vacías se relacionan con la seguridad de estos usuarios. Zimperium, que se dedica a la seguridad móvil, encontró que las decenas de miles de aplicaciones de iOS y Android utilizan configuraciones incorrectas de servicio de nube, debido a que los datos del usuario pueden cargar casi cualquier otra.
Los especialistas de seguridad de la información realizaron un análisis automático de más de 1,3 millones de aplicaciones para Android e IOS para identificar configuraciones comunes de nube incorrectas que abren acceso a los datos del usuario. Los investigadores han descubierto alrededor de 84,000 aplicaciones de Android y casi 47,000 aplicaciones de iOS que utilizan servicios públicos en la nube, como los servicios web de Amazon, Google Cloud o Microsoft Azure, y no sus propios servidores. De estos, los investigadores revelaron configuraciones incorrectas en el 14% del número total de programas, esta es 11,877 solicitudes para aplicaciones de Android y 6 608 iOS. Los datos de la aplicación divulgan información personal de usuarios, contraseñas e incluso información médica, escribe Wired.
Según los expertos, muchas de estas aplicaciones tienen un repositorio nublado, que no fue configurado adecuadamente por el desarrollador o cualquier otra persona, y debido a esto, los usuarios de usuarios son visibles para casi cualquier persona.
Nueva vulnerabilidad de la aplicación en App Store
Los investigadores apelaron a varios desarrolladores de aplicaciones en los que encontraron vulnerabilidades de la nube, pero, según ellos, fueron respondidas muy pocas, y la mayoría de las aplicaciones continúan usando datos abiertos. Desafortunadamente, Zimperium no llama a las aplicaciones afectadas en su informe. Además, los investigadores no pueden notificar a decenas de miles de desarrolladores de inmediato.
Los servicios que han considerado cubren una amplia gama: desde aplicaciones con varios miles de usuarios antes de las aplicaciones con varios millones.
Una de estas aplicaciones es una billetera móvil de la compañía de la lista Fortune 500, que proporciona información sobre sesiones de usuario y datos financieros. Otro ejemplo es una aplicación de transporte donde los pagos se almacenan en el formulario abierto. Los investigadores también descubrieron aplicaciones médicas abiertas con resultados de pruebas e incluso imágenes de perfiles de usuario.
La compañía aún no ha podido estimar si los atacantes encontraron ninguna vulnerabilidad de los que se encuentran los expertos. Pero se observa que serán fáciles de encontrar usando la misma información disponible públicamente que Zimperium utilizó en su investigación. Los grupos de hackers ya implementan este tipo de escaneo para encontrar configuraciones incorrectas en la nube en los servicios web. Además, los investigadores encontraron que algunas configuraciones incorrectas permiten a los atacantes cambiar o sobrescribir los datos.
También sobre el tema: iOS 14 hackeado y lo mostró en video.
¿Cómo asegurar sus datos?
Los principales proveedores de servicios en la nube, como Amazon, ya han hecho esfuerzos para detectar posibles configuraciones incorrectas y prevenir a los clientes sobre ellos, pero aún así depende de los desarrolladores, ya que es necesario eliminar estas vulnerabilidades.
Parece que muchos servicios, incluidos grandes, tienen problemas serios con la seguridad de los datos en la nube. Lo sentimos, todavía no conocemos los nombres específicos de dichas aplicaciones, pero creo que esta información pronto aparecerá.