במהלך 10 השנים האחרונות, הפופולריות של שירותי ענן גדלה בחדות. אתה כנראה להשתמש באותו icloud, דיסק של Google או Yandex.disk לא לקחת מקום במחשב או iPhone. במיוחד נוח כי יישומים רבים מאפשרים לך לאחסן נתונים בענן. אבל, כפי שהתברר, יישומים כאלה הם לעתים קרובות ריקים להתייחס לאבטחה של משתמשים אלה. Zimperium, העוסקת בביטחון הנייד, מצא כי עשרות אלפי IOS ו- Android יישומים להשתמש בתצורות שירות ענן שגוי, עקב נתוני המשתמש יכולים לטעון כמעט כל.
מומחי אבטחת מידע ניהלו ניתוח אוטומטי של יותר מ -1.3 מיליון יישומים עבור אנדרואיד ו- iOS כדי לזהות תצורות ענן נפוצות אשר פותחים גישה לנתוני משתמש. החוקרים גילו כ -84,000 יישומי אנדרואיד וכמעט 47,000 יישומי IOS המשתמשים בשירותי ענן ציבוריים, כגון שירותי אינטרנט אמזון, ענן של Google או Azure, ולא שרתים משלה. מתוכם, החוקרים חשפו תצורות שגויות ב -14% מכלל התוכניות - זו 11,877 יישומים עבור אנדרואיד ו 6 608 יישומי IOS. נתוני היישום חושפים מידע אישי של משתמשים, סיסמאות ואפילו מידע רפואי, כותב Wired.
לדברי מומחים, רבים של יישומים אלה יש מאגר מעונן, אשר לא הוגדר כראוי על ידי היזם או כל אדם אחר, ובגלל זה, משתמשים של משתמשים גלוי כמעט לכל אחד.
פגיעות יישום חדשה ב- App Store
החוקרים פנו למספר מפתחי יישומים שבהם הם מצאו פגיעויות ענן, אך, לדבריהם, הם נענו מעט מאוד, ורוב היישומים ממשיכים להשתמש בנתונים פתוחים. למרבה הצער, Zimperium אינו קורא יישומים מושפעים בדו"ח שלהם. בנוסף, החוקרים אינם יכולים להודיע עשרות אלפי מפתחים באופן מיידי.
השירותים שהם חשבו לכסות מגוון רחב: מיישומים עם כמה אלפי משתמשים לפני יישומים עם כמה מיליונים.
אחד היישומים הללו הוא ארנק נייד מהחברה מרשימת Fortune 500, המספק מידע על פגישות משתמש ונתונים פיננסיים. דוגמה נוספת היא יישום תחבורה שבו התשלומים מאוחסנים בצורה הפתוחה. החוקרים גילו גם יישומים רפואיים פתוחים עם תוצאות בדיקה ואפילו תמונות של פרופילי משתמש.
החברה עדיין לא הצליחה להעריך אם התוקפים מצאו כל פגיעויות מאלה שנמצאו על ידי מומחים. אבל יצוין כי הם יהיו קל למצוא באמצעות אותו מידע זמין לציבור כי zimperium המשמש במחקר שלהם. קבוצות האקר כבר ליישם סוג זה של סריקה כדי למצוא תצורות ענן שגוי בשירותי אינטרנט. בנוסף, החוקרים מצאו כי כמה תצורות שגויות מאפשרות לתוקפים לשנות או להחליף את הנתונים.
גם בנושא: iOS 14 פרוצים והראו אותו על וידאו
כיצד לאבטח את הנתונים שלך?
ספקי שירות ענן עיקרי, כגון אמזון, כבר עשו מאמצים כדי לזהות תצורות שגויות אפשריות ולמנוע לקוחות עליהם, אבל עדיין הרבה תלוי במפתחים, שכן יש צורך לחסל את הפגיעויות האלה.
זה נראה שירותים רבים, כולל גדול, יש בעיות חמורות עם בטיחות של נתוני ענן. מצטערים, אנחנו עדיין לא יודעים את השמות הספציפיים של יישומים כאלה, אבל אני חושב מידע זה בקרוב צץ.