Անցած 10 տարիների ընթացքում ամպային ծառայությունների ժողովրդականությունը կտրուկ աճել է: Դուք հավանաբար օգտագործում եք նույն ICLOUD- ը, Google Disk- ը կամ Yandex.disk- ը `համակարգչի կամ iPhone- ի վրա տեղ չընկնելու համար: Հատկապես հարմար է, որ շատ դիմումներ թույլ են տալիս ձեզ պահել տվյալները ամպի մեջ: Բայց, ինչպես պարզվեց, նման դիմումները հաճախ դատարկ են վերաբերում այս օգտագործողների անվտանգության հետ: Zimperium- ը, որը զբաղվում է բջջային անվտանգության ոլորտում, պարզել է, որ տասնյակ հազարավոր iOS եւ Android ծրագրեր օգտագործում են Cloud Cloud ծառայության սխալ կազմաձեւեր, որոնց պատճառով օգտագործողի տվյալները կարող են բեռնել գրեթե ցանկացած:
Տեղեկատվական անվտանգության մասնագետներն իրականացրել են ավելի քան 1,3 միլիոն դիմում, Android- ի եւ iOS- ի համար ավելի քան 1,3 միլիոն դիմումների համար `պարզելու ընդհանուր սխալ Cloud կազմաձեւերը, որոնք բացվում են օգտագործողի տվյալներից: Հետազոտողները հայտնաբերել են մոտ 84,000 Android հավելվածներ եւ գրեթե 47,000 iOS դիմում, որոնք օգտագործում են հանրային ամպի ծառայություններ, ինչպիսիք են Amazon Web Services- ը, Google Cloud- ը կամ Microsoft Azure- ը, այլ ոչ թե սեփական սերվերները: Դրանցից հետազոտողները հայտնաբերեցին սխալ կազմաձեւեր, ծրագրերի ընդհանուր քանակի 14% -ի սահմաններում. Սա 11.877 դիմում է Android- ի եւ 6 608 iOS դիմումների համար: Դիմումի տվյալները բացահայտում են օգտագործողների, գաղտնաբառերի եւ նույնիսկ բժշկական տեղեկատվության անձնական տեղեկատվությունը, գրում է լարված:
Փորձագետների կարծիքով, այս դիմումներից շատերը ունեն ամպամած պահեստ, որը պատշաճ կերպով կազմաձեւված չէր մշակողի կամ որեւէ մեկի կողմից, եւ դրա պատճառով օգտագործողների օգտվողները տեսանելի են գրեթե բոլորի համար:
App Store- ում հայտի նոր խոցելիություն
Հետազոտողները դիմել են ծրագրերի մի քանի ծրագրերի, որոնցում նրանք գտել են ամպային խոցելիություններ, բայց, ըստ նրանց, նրանց պատասխանել են շատ քչերը, եւ դիմումների մեծ մասը շարունակում է օգտագործել բաց տվյալներ: Դժբախտաբար, Zimperium- ը իրենց զեկույցում չի անվանում տուժած դիմումներ: Բացի այդ, հետազոտողները չեն կարող անհապաղ տեղեկացնել տասնյակ հազարավոր ծրագրավորողներ:
Ծառայությունները, որոնք նրանք համարել են լայն տեսականի. Մի քանի հազար օգտագործողներից դիմումներից մինչեւ մի քանի միլիոնով դիմումներից:
Այս դիմումներից մեկը Fortune 500 ցուցակից ընկերությունից բջջային դրամապանակ է, որն ապահովում է որոշ տեղեկություններ օգտվողի նստաշրջանների եւ ֆինանսական տվյալների վերաբերյալ: Մեկ այլ օրինակ է տրանսպորտային դիմումը, որտեղ վճարումները պահվում են բաց տեսքով: Հետազոտողները հայտնաբերել են նաեւ բաց բժշկական դիմումներ `փորձարկման արդյունքներով եւ նույնիսկ օգտագործողի պրոֆիլների պատկերներով:
Ընկերությունը դեռ չի կարողացել գնահատել, թե հարձակվողները փորձագետների կողմից հայտնաբերվածներից որեւէ խոցելիություն են գտել: Բայց նշվում է, որ դրանք հեշտ կլինեն գտնել նույն հրապարակայնորեն մատչելի տեղեկատվությունը, որոնք օգտագործվում են իրենց հետազոտության մեջ: Հակերային խմբերը արդեն իրականացնում են սկան այս տեսակի սկան, վեբ ծառայություններում սխալ ամպային կազմաձեւեր գտնելու համար: Բացի այդ, հետազոտողները պարզել են, որ որոշ սխալ կազմաձեւեր թույլ են տալիս հարձակվողներին փոխել կամ վերաշարադրել տվյալները:
Նաեւ թեմայի վերաբերյալ. IOS 14-ը կոտրել եւ ցույց տվեց տեսանյութը
Ինչպես ապահովել ձեր տվյալները:
Ամպի հիմնական ծառայություններ մատուցողները, ինչպիսիք են Amazon- ը, արդեն ջանքեր են գործադրել հնարավոր սխալ կազմաձեւերը հայտնաբերելու եւ հաճախորդներին դրանց մասին կանխելու համար, բայց դեռ շատ բան է կախված մշակողներին: Քանի որ անհրաժեշտ է վերացնել այս խոցելիությունը:
Թվում է, թե շատ ծառայություններ, ներառյալ մեծ, լուրջ խնդիրներ ունեն ամպային տվյալների անվտանգության հետ: Ներեցեք, մենք դեռ չգիտենք նման դիմումների առանձնահատուկ անունները, բայց կարծում եմ, որ այս տեղեկատվությունը շուտով կընկնի: