Nos últimos 10 anos, a popularidade dos servizos da nube creceu bruscamente. Probablemente use o mesmo iCloud, Google Disk ou Yandex.disk non tomar un lugar nunha computadora ou iPhone. Especialmente conveniente que moitas aplicacións permítenlle almacenar datos na nube. Pero, como se viu, estas aplicacións adoitan estar baleiras relacionadas coa seguridade destes usuarios. Zimperium, que se dedica á seguridade móbil, descubriu que as decenas de miles de aplicacións de iOS e Android utilizan configuracións de servizo en nube incorrectas, debido a que os datos do usuario poden cargar case calquera.
Os especialistas en seguridade da información realizaron unha análise automática de máis de 1,3 millóns de aplicacións para Android e iOS para identificar configuracións de nube comúns que abran o acceso aos datos do usuario. Os investigadores descubriron preto de 84.000 aplicacións de Android e case 47.000 aplicacións de iOS que utilizan servizos de nube pública, como Amazon Web Services, Google Cloud ou Microsoft Azure, e non os seus propios servidores. Destes, os investigadores revelaron configuracións incorrectas ao 14% do número total de programas: esta é de 11.877 aplicacións para aplicacións de Android e 6 608 iOS. Os datos da aplicación divulgan información persoal de usuarios, contrasinais e incluso información médica, escribe con cable.
Segundo os expertos, moitas destas aplicacións teñen un repositorio nublado, que non estaba configurado correctamente polo desarrollador ou calquera outra persoa, e por iso, os usuarios dos usuarios son visibles para case calquera persoa.
Nova vulnerabilidade da aplicación na App Store
Os investigadores apelaron a varios desenvolvedores de aplicacións nas que atoparon vulnerabilidades en nube, pero, segundo eles, foron respondidos moi poucos, e a maioría das aplicacións seguen a usar datos abertos. Desafortunadamente, Zimperium non chama aplicacións afectadas no seu informe. Ademais, os investigadores non poden notificar a decenas de miles de desenvolvedores de inmediato.
Os servizos que consideraron cubrir un amplo abano: a partir de aplicacións con varios miles de usuarios antes de aplicacións con varios millóns.
Unha destas aplicacións é unha carteira móbil da compañía da lista Fortune 500, que proporciona información sobre sesións de usuario e datos financeiros. Outro exemplo é unha aplicación de transporte onde os pagamentos almacénanse no formulario aberto. Os investigadores tamén descubriron aplicacións médicas abertas con resultados de proba e incluso imaxes de perfís de usuario.
A empresa aínda non puido estimar se os atacantes atoparon todas as vulnerabilidades das atopadas por expertos. Pero obsérvase que serán fáciles de atopar usando a mesma información dispoñible públicamente que Zimperium utilizou na súa investigación. Os grupos de hackers xa implementan este tipo de escaneo para atopar configuracións de nube incorrectas nos servizos web. Ademais, os investigadores descubriron que algunhas configuracións incorrectas permiten que os atacantes cambien ou sobrescriben os datos.
Tamén sobre o tema: iOS 14 hackeado e mostrouno en vídeo
Como protexer os teus datos?
Os principais provedores de servizos de nube, como Amazon, xa fixeron esforzos para detectar posibles configuracións incorrectas e evitar os clientes sobre eles, pero aínda así depende dos desenvolvedores, xa que é necesario eliminar estas vulnerabilidades.
Parece que moitos servizos, incluíndo grandes, teñen problemas graves coa seguridade dos datos da nube. Aínda non sabemos os nomes específicos de tales aplicacións, pero creo que esta información pronto aparecerá.