पिछले 10 वर्षों में, क्लाउड सेवाओं की लोकप्रियता तेजी से बढ़ी है। आप शायद एक ही iCloud, Google डिस्क या yandex.disk का उपयोग कंप्यूटर या आईफोन पर जगह नहीं लेते हैं। विशेष रूप से सुविधाजनक है कि कई एप्लिकेशन आपको क्लाउड में डेटा स्टोर करने की अनुमति देते हैं। लेकिन, जैसा कि यह निकला, ऐसे अनुप्रयोग अक्सर इन उपयोगकर्ताओं की सुरक्षा से संबंधित खाली होते हैं। ज़िमरियम, जो मोबाइल सुरक्षा में लगी हुई है, ने पाया कि हजारों आईओएस और एंड्रॉइड एप्लिकेशन गलत क्लाउड सर्विस कॉन्फ़िगरेशन का उपयोग करते हैं, जिसके कारण उपयोगकर्ता डेटा लगभग किसी भी लोड कर सकता है।
सूचना सुरक्षा विशेषज्ञों ने उपयोगकर्ता डेटा तक पहुंच को खोलने वाले सामान्य गलत क्लाउड कॉन्फ़िगरेशन की पहचान करने के लिए एंड्रॉइड और आईओएस के लिए 1.3 मिलियन से अधिक एप्लिकेशन का स्वचालित विश्लेषण किया। शोधकर्ताओं ने लगभग 84,000 एंड्रॉइड एप्लिकेशन और लगभग 47,000 आईओएस एप्लिकेशन खोजे हैं जो सार्वजनिक क्लाउड सेवाओं, जैसे अमेज़ॅन वेब सर्विसेज, Google क्लाउड या माइक्रोसॉफ्ट एज़ूर का उपयोग करते हैं, न कि अपने स्वयं के सर्वर। इनमें से, शोधकर्ताओं ने कुल कार्यक्रमों की कुल संख्या में 14% पर गलत कॉन्फ़िगरेशन का खुलासा किया - यह एंड्रॉइड के लिए 11,877 एप्लिकेशन और 6 608 आईओएस अनुप्रयोगों के लिए आवेदन है। वायर्ड लिखते हैं, उपयोगकर्ता डेटा, पासवर्ड और यहां तक कि चिकित्सा जानकारी की व्यक्तिगत जानकारी का खुलासा करते हैं।
विशेषज्ञों के मुताबिक, इनमें से कई अनुप्रयोगों में एक बादल भंडार है, जिसे डेवलपर या किसी और द्वारा ठीक से कॉन्फ़िगर नहीं किया गया था, और इसके कारण, उपयोगकर्ताओं के उपयोगकर्ता लगभग किसी भी व्यक्ति के लिए दृश्यमान हैं।
ऐप स्टोर में नई एप्लिकेशन भेद्यता
शोधकर्ताओं ने कई अनुप्रयोग डेवलपर्स से अपील की जिसमें उन्होंने क्लाउड भेद्यताएं पाई, लेकिन, उनके अनुसार, उन्हें बहुत कम उत्तर दिया गया, और अधिकांश एप्लिकेशन खुले डेटा का उपयोग जारी रखते हैं। दुर्भाग्यवश, ज़िम्परियम प्रभावित अनुप्रयोगों को उनकी रिपोर्ट में कॉल नहीं करता है। इसके अलावा, शोधकर्ता तुरंत हजारों डेवलपर्स को सूचित नहीं कर सकते हैं।
जिन सेवाओं को उन्होंने कवर किया है, वे एक विस्तृत श्रृंखला को कवर करते हैं: कई लाखों के साथ अनुप्रयोगों से पहले कई हजार उपयोगकर्ताओं के अनुप्रयोगों से।
इन अनुप्रयोगों में से एक फॉच्र्युन 500 सूची से कंपनी से एक मोबाइल वॉलेट है, जो उपयोगकर्ता सत्र और वित्तीय डेटा के बारे में कुछ जानकारी प्रदान करता है। एक और उदाहरण एक परिवहन अनुप्रयोग है जहां भुगतान खुले रूप में संग्रहीत किया जाता है। शोधकर्ताओं ने परीक्षण परिणामों और उपयोगकर्ता प्रोफाइल की छवियों के साथ खुले चिकित्सा अनुप्रयोगों की भी खोज की।
कंपनी अभी तक यह अनुमान लगाने में सक्षम नहीं रही है कि हमलावरों को विशेषज्ञों द्वारा पाए गए लोगों की कोई भेद्यता मिली है या नहीं। लेकिन यह ध्यान दिया गया है कि उन्हें उसी सार्वजनिक रूप से उपलब्ध जानकारी का उपयोग करना आसान होगा जो जिम्परियम अपने शोध में उपयोग किया जाता है। हैकर समूह पहले से ही वेब सेवाओं में गलत क्लाउड कॉन्फ़िगरेशन खोजने के लिए इस प्रकार के स्कैन को लागू कर चुके हैं। इसके अलावा, शोधकर्ताओं ने पाया कि कुछ गलत कॉन्फ़िगरेशन हमलावरों को डेटा को बदलने या ओवरराइट करने की अनुमति देते हैं।
इस विषय पर भी: आईओएस 14 ने हैक किया और इसे वीडियो पर दिखाया
अपना डेटा कैसे सुरक्षित करें?
अमेज़ॅन जैसे मुख्य क्लाउड सेवा प्रदाताओं ने पहले से ही संभावित गलत कॉन्फ़िगरेशन का पता लगाने और ग्राहकों को उनके बारे में रोकने के प्रयास किए हैं, लेकिन अभी भी डेवलपर्स पर निर्भर करता है, क्योंकि इन कमजोरियों को खत्म करना आवश्यक है।
ऐसा लगता है कि बड़ी संख्या में, क्लाउड डेटा की सुरक्षा के साथ गंभीर समस्याएं हैं। क्षमा करें, हम अभी तक ऐसे अनुप्रयोगों के विशिष्ट नामों को नहीं जानते हैं, लेकिन मुझे लगता है कि यह जानकारी जल्द ही पॉप अप होगी।