Selama 10 tahun terakhir, popularitas layanan cloud telah tumbuh tajam. Anda mungkin menggunakan iCloud yang sama, Google Disk atau Yandex.disk untuk tidak mengambil tempat di komputer atau iPhone. Sangat nyaman bahwa banyak aplikasi memungkinkan Anda untuk menyimpan data di cloud. Tapi, ternyata, aplikasi seperti itu sering kosong berhubungan dengan keamanan pengguna ini. Zimperium, yang bergerak dalam keamanan seluler, menemukan bahwa puluhan ribu aplikasi iOS dan Android menggunakan konfigurasi layanan cloud yang salah, karena data pengguna mana yang dapat memuat hampir semua.
Spesialis keamanan informasi melakukan analisis otomatis lebih dari 1,3 juta aplikasi untuk Android dan iOS untuk mengidentifikasi konfigurasi cloud yang salah umum yang membuka akses ke data pengguna. Para peneliti telah menemukan sekitar 84.000 aplikasi Android dan hampir 47.000 aplikasi iOS yang menggunakan layanan cloud publik, seperti Layanan Web Amazon, Google Cloud atau Microsoft Azure, dan bukan servernya sendiri. Dari jumlah tersebut, para peneliti mengungkapkan konfigurasi yang salah pada 14% dari jumlah total program - ini adalah 11.877 aplikasi untuk Android dan 6 608 aplikasi iOS. Data aplikasi mengungkapkan informasi pribadi pengguna, kata sandi, dan bahkan informasi medis, tulis kabel.
Menurut para ahli, banyak dari aplikasi ini memiliki repositori berawan, yang tidak dikonfigurasi dengan benar oleh pengembang atau orang lain, dan karena ini, pengguna pengguna dapat terlihat oleh hampir semua orang.
Kerentanan aplikasi baru di App Store
Para peneliti mengajukan banding kepada beberapa pengembang aplikasi di mana mereka menemukan kerentanan cloud, tetapi, menurut mereka, mereka dijawab sangat sedikit, dan sebagian besar aplikasi terus menggunakan data terbuka. Sayangnya, Zimperium tidak memanggil aplikasi yang terpengaruh dalam laporan mereka. Selain itu, para peneliti tidak dapat segera memberi tahu puluhan ribu pengembang.
Layanan yang mereka pertimbangkan untuk mencakup berbagai macam: dari aplikasi dengan beberapa ribu pengguna sebelum aplikasi dengan beberapa jutaan.
Salah satu aplikasi ini adalah dompet ponsel dari perusahaan dari daftar Fortune 500, yang menyediakan beberapa informasi tentang sesi pengguna dan data keuangan. Contoh lain adalah aplikasi transportasi di mana pembayaran disimpan dalam bentuk terbuka. Para peneliti juga menemukan aplikasi medis terbuka dengan hasil tes dan bahkan gambar profil pengguna.
Perusahaan belum dapat memperkirakan apakah para penyerang menemukan kerentanan dari mereka yang ditemukan oleh para ahli. Namun dicatat bahwa mereka akan mudah ditemukan menggunakan informasi yang tersedia secara publik yang sama dengan zimperium yang digunakan dalam penelitian mereka. Grup hacker sudah menerapkan jenis pemindaian ini untuk menemukan konfigurasi cloud yang salah dalam layanan web. Selain itu, para peneliti menemukan bahwa beberapa konfigurasi yang salah memungkinkan penyerang untuk mengubah atau menimpa data.
Juga pada topik: iOS 14 diretas dan menunjukkannya di video
Bagaimana cara mengamankan data Anda?
Penyedia layanan cloud utama, seperti Amazon, telah melakukan upaya untuk mendeteksi kemungkinan konfigurasi yang salah dan mencegah pelanggan tentang mereka, tetapi masih banyak tergantung pada pengembang, karena perlu untuk menghilangkan kerentanan ini.
Tampaknya banyak layanan, termasuk besar, memiliki masalah serius dengan keamanan data cloud. Maaf, kami belum tahu nama-nama spesifik dari aplikasi seperti itu, tetapi saya pikir informasi ini akan segera muncul.