Tijekom proteklih 10 godina, popularnost usluga u oblaku oštro je porasla. Vjerojatno koristite isti iCloud, Google disk ili yandex.disk ne uzeti mjesto na računalu ili iPhoneu. Pogotovo prikladno da mnoge aplikacije omogućuju pohranjivanje podataka u oblaku. No, kako se ispostavilo, takve se primjene često prazne odnose na sigurnost tih korisnika. Zimperium, koji se bavi mobilnom sigurnošću, otkrio je da deseci tisuća IOS i Android aplikacija koriste netočne konfiguracije u oblaku, zbog kojih korisnički podaci mogu učitati gotovo bilo koji.
Stručnjaci za sigurnost informacija proveli su automatsku analizu više od 1,3 milijuna primjena za Android i iOS za prepoznavanje uobičajenih netočnih konfiguracija oblaka koje otvaraju pristup korisničkim podacima. Istraživači su otkrili oko 84.000 Android aplikacija i gotovo 47.000 IOS aplikacija koje koriste javne usluge u oblaku, kao što su Amazon web usluge, Google Cloud ili Microsoft Azure, a ne vlastiti poslužitelji. Od njih su istraživači otkrili netočne konfiguracije na 14% od ukupnog broja programa - to je 11.877 aplikacija za Android i 6 608 IOS aplikacija. Podaci o aplikaciji otkrivaju osobne podatke korisnika, lozinki, pa čak i medicinske informacije, piše žičani.
Prema mišljenju stručnjaka, mnoge od tih aplikacija imaju oblačno spremište, koji nije pravilno konfiguriran od strane programera ili bilo koga drugog, a zbog toga su korisnici korisnika vidljivi gotovo nikome.
Nova ranjivost aplikacije u App Storeu
Istraživači su se žalili na nekoliko prijava developera u kojima su pronašli oblačne ranjivosti, ali, prema njima, odgovorili su na vrlo malo, a većina aplikacija i dalje koristi otvorene podatke. Nažalost, zimperij ne zove zahvaćene aplikacije u njihovom izvješću. Osim toga, istraživači ne mogu odmah obavijestiti desetke tisuća developera.
Usluge koje su smatrali da pokrivaju širok raspon: od aplikacija s nekoliko tisuća korisnika prije nego što su aplikacije s nekoliko milijuna.
Jedna od tih aplikacija je mobilni novčanik iz tvrtke s liste Fortune 500, koji pruža neke informacije o korisničkim sesijama i financijskim podacima. Drugi primjer je transportna aplikacija na kojoj se plaćanja pohranjuju u otvorenom obliku. Istraživači su također otkrili otvorene medicinske primjene s rezultatima testa, pa čak i slike korisničkih profila.
Tvrtka još nije uspjela procijeniti je li napadači pronašli bilo kakve ranjivosti od onih koje su pronašli stručnjaci. Ali to je napomenuti da će biti lako pronaći koristeći iste javno dostupne informacije koje je zimperium koristio u istraživanju. Hacker Grupe već implementiraju ovu vrstu skeniranja kako bi pronašli netočne konfiguracije oblaka u web-uslugama. Osim toga, istraživači su otkrili da neke netočne konfiguracije omogućuju da napadači mogu promijeniti ili prepisati podatke.
Također na temu: IOS 14 hacked i pokazao ga na videu
Kako osigurati svoje podatke?
Glavni pružatelji usluga u oblaku, kao što su Amazon, već su uložili napore da otkriju moguće netočne konfiguracije i spriječiti kupce o njima, ali još mnogo ovisi o programerima, budući da je potrebno eliminirati te ranjivosti.
Čini se da mnoge usluge, uključujući i velike, imaju ozbiljne probleme s sigurnosti podataka u oblaku. Žao nam je, još ne znamo određena imena takvih aplikacija, ali mislim da će se ove informacije uskoro pojaviti.