Negli ultimi 10 anni, la popolarità dei servizi cloud è diventata bruscamente. Probabilmente usi lo stesso icloud, google disk o yandex.disk per non prendere un posto su un computer o un iPhone. Particolarmente conveniente che molte applicazioni ti consentono di memorizzare i dati nel cloud. Ma, come si è scoperto, tali applicazioni sono spesso vuote riguardano la sicurezza di questi utenti. Zimperium, impegnata nella sicurezza mobile, ha rilevato che decine di migliaia di applicazioni IOS e Android utilizzano configurazioni errate del servizio cloud, a causa del quale i dati dell'utente possono caricarli quasi tutti.
Gli specialisti della sicurezza delle informazioni hanno condotto un'analisi automatica di oltre 1,3 milioni di applicazioni per Android e IOS per identificare configurazioni cloud errate comuni che aprono l'accesso ai dati dell'utente. I ricercatori hanno scoperto circa 84.000 applicazioni Android e quasi 47.000 applicazioni IOS che utilizzano servizi cloud pubblici, come Amazon Web Services, Google Cloud o Microsoft Azure, e non i suoi server. Di questi, i ricercatori hanno rivelato configurazioni errate al 14% del numero totale di programmi - questa è 11.877 applicazioni per Android e 6 608 applicazioni iOS. I dati dell'applicazione hanno rivelare informazioni personali di utenti, password e persino informazioni mediche, scrive cablate.
Secondo gli esperti, molte di queste applicazioni hanno un repository nuvoloso, che non è stato configurato correttamente dallo sviluppatore o da chiunque altro, e per questo, gli utenti degli utenti sono visibili a quasi tutti.
Nuova vulnerabilità dell'applicazione in App Store
I ricercatori hanno fatto appello a numerosi sviluppatori di applicazioni in cui hanno trovato vulnerabilità delle nuvole, ma, secondo loro, hanno risposto pochissimi, e la maggior parte delle applicazioni continua a utilizzare i dati aperti. Sfortunatamente, Zimperium non chiama applicazioni interessate nel loro rapporto. Inoltre, i ricercatori non possono immediatamente informare le decine di migliaia di sviluppatori.
I servizi che hanno considerato coprono una vasta gamma: dalle applicazioni con diverse migliaia di utenti prima delle applicazioni con diversi milioni.
Una di queste applicazioni è un portafoglio mobile dalla società dall'elenco Fortune 500, che fornisce alcune informazioni sulle sessioni degli utenti e sui dati finanziari. Un altro esempio è un'applicazione di trasporto in cui i pagamenti sono memorizzati nel modulo aperto. I ricercatori hanno anche scoperto le applicazioni mediche aperte con risultati dei test e anche le immagini dei profili utente.
La società non è stata ancora in grado di stimare se gli aggressori hanno trovato vulnerabilità da quelle trovate da esperti. Ma è notato che saranno facili da trovare usando le stesse informazioni pubblicamente disponibili che Zimperium utilizzava nella loro ricerca. I gruppi di hacker implementano già questo tipo di scansione per trovare configurazioni cloud errate nei servizi Web. Inoltre, i ricercatori hanno scoperto che alcune configurazioni errate consentono agli attaccanti di modificare o sovrascrivere i dati.
Anche sull'argomento: iOS 14 hacked e lo ha mostrato sul video
Come proteggere i tuoi dati?
I principali fornitori di servizi di servizio cloud, come Amazon, hanno già fatto sforzi per rilevare possibili configurazioni errate e impedire ai clienti su di essi, ma ancora molto dipende dagli sviluppatori, poiché è necessario eliminare queste vulnerabilità.
Sembra molti servizi, inclusi grandi, hanno gravi problemi con la sicurezza dei dati cloud. Siamo spiacenti, non conosciamo ancora i nomi specifici di tali applicazioni, ma penso che questa informazione presto salterà.