Au cours des 10 dernières années, la popularité des services cloud a fortement augmenté. Vous utilisez probablement le même iCloud, Google Disk ou Yandex.Disk pour ne pas prendre place sur un ordinateur ou un iPhone. Surtout commode que de nombreuses applications vous permettent de stocker des données dans le cloud. Mais, comme il s'est avéré, de telles applications sont souvent vides liées à la sécurité de ces utilisateurs. Zimperium, qui est engagé dans la sécurité mobile, a constaté que des dizaines de milliers d'applications IOS et Android utilisent des configurations de service cloud incorrectes, en raison desquelles les données utilisateur peuvent charger presque tout.
Les spécialistes de la sécurité des informations ont effectué une analyse automatique de plus de 1,3 million d'applications d'Android et iOS pour identifier des configurations de cloud incorrectes communes qui ouvrent accès aux données utilisateur. Les chercheurs ont découvert environ 84 000 applications Android et près de 47 000 applications IOS utilisant des services cloud publics, tels que Amazon Web Services, Google Cloud ou Microsoft Azure, et non ses propres serveurs. Parmi ceux-ci, les chercheurs ont révélé des configurations incorrectes à 14% du nombre total de programmes - il s'agit de 11 877 applications pour Android et 6 608 applications IOS. Les données d'application décrivent des informations personnelles des utilisateurs, des mots de passe et même des informations médicales, écris filaires.
Selon des experts, bon nombre de ces applications ont un référentiel nuageux, qui n'était pas correctement configuré par le développeur ou par personne d'autre, et à cause de cela, les utilisateurs d'utilisateurs sont visibles à presque quiconque.
Nouvelle vulnérabilité d'application dans l'App Store
Les chercheurs ont fait appel à plusieurs développeurs d'applications dans lesquels ils ont trouvé des vulnérabilités en nuage, mais, selon eux, ils ont été répondu très peu, et la plupart des applications continuent d'utiliser des données ouvertes. Malheureusement, Zimperium n'appelle pas les applications affectées dans leur rapport. En outre, les chercheurs ne peuvent notifier immédiatement à des dizaines de milliers de développeurs.
Les services qu'ils ont envisagés couvrent une large gamme: des applications avec plusieurs milliers d'utilisateurs avant plusieurs millions de millions.
L'une de ces applications est un portefeuille mobile de la société à partir de la liste Fortune 500, qui fournit des informations sur les sessions utilisateur et les données financières. Un autre exemple est une application de transport où les paiements sont stockés sur la forme ouverte. Les chercheurs ont également découvert des applications médicales ouvertes avec des résultats de test et même des images de profils utilisateur.
La société n'a pas encore été en mesure d'estimer si les attaquants ont trouvé des vulnérabilités de celles trouvées par des experts. Mais il est à noter qu'ils seront faciles à trouver en utilisant les mêmes informations disponibles publiquement que Zimperium utilisées dans leurs recherches. Les groupes de hackers implémentent déjà ce type de numérisation pour trouver des configurations cloud incorrectes dans les services Web. De plus, les chercheurs ont constaté que certaines configurations incorrectes permettent aux attaquants de changer ou d'écraser les données.
Aussi sur le sujet: iOS 14 piraté et l'a montré sur la vidéo
Comment sécuriser vos données?
Les principaux fournisseurs de services cloud, tels que Amazon, ont déjà déployé des efforts pour détecter des configurations incorrectes possibles et empêcher leurs clients, mais cela dépend encore beaucoup des développeurs, car il est nécessaire d'éliminer ces vulnérabilités.
Il semble que de nombreux services, y compris de gros problèmes, ont de graves problèmes avec la sécurité des données en nuage. Désolé, nous ne connaissons pas encore les noms spécifiques de ces applications, mais je pense que ces informations vont bientôt apparaître.