ბოლო 10 წლის განმავლობაში, ღრუბლოვანი სერვისების პოპულარობა მკვეთრად გაიზარდა. თქვენ ალბათ გამოიყენეთ იგივე iCloud, Google Disk ან Yandex.Disk არ მიიღოს ადგილი კომპიუტერი ან iPhone. განსაკუთრებით მოსახერხებელია, რომ ბევრი აპლიკაცია საშუალებას მოგცემთ შეინახოთ მონაცემები ღრუბლებში. მაგრამ, როგორც აღმოჩნდა, ასეთი განცხადებები ხშირად ცარიელია ამ მომხმარებელთა უსაფრთხოებასთან დაკავშირებით. Zimperium, რომელიც ჩართულია მობილური უსაფრთხოების, აღმოაჩინა, რომ ათობით ათასი IOS და Android განაცხადების გამოიყენოთ არასწორი Cloud მომსახურების კონფიგურაციები, იმის გამო, რომლის მონაცემების შეიძლება ჩატვირთვა თითქმის ნებისმიერი.
ინფორმაციული უსაფრთხოების სპეციალისტებმა ANDROID- ისა და iOS- ისთვის 1.3 მილიონზე მეტი განაცხადის ავტომატური ანალიზი ჩაატარეს. მკვლევარებმა აღმოაჩინეს დაახლოებით 84,000 Android აპლიკაცია და თითქმის 47,000 iOS აპლიკაციები, რომლებიც იყენებენ საზოგადოებრივ Cloud სერვისებს, როგორიცაა Amazon Web Services, Google Cloud ან Microsoft Azure და არა საკუთარი სერვერები. აქედან გამომდინარე, მკვლევარებმა გამოავლინეს არასწორი კონფიგურაციები პროგრამების საერთო რაოდენობის 14% -ით - ეს არის 11,877 აპლიკაცია Android- ისთვის და 608 iOS- ისთვის. აპლიკაციის მონაცემები მომხმარებლების, პაროლებისა და სამედიცინო ინფორმაციის პირადი ინფორმაციის გამჟღავნებას, წერს სადენიანი.
ექსპერტების აზრით, ბევრი ამ განაცხადს აქვს ღრუბლიანი საცავი, რომელიც არ იყო სათანადოდ კონფიგურირებული დეველოპერი ან ვინმეს მიერ, და ამის გამო მომხმარებლების მომხმარებლები თითქმის არავისთვის ხილულია.
ახალი განაცხადის მოწყვლადობა App Store- ში
მკვლევარებმა გაასაჩივრეს რამდენიმე განაცხადი დეველოპერები, რომელშიც მათ აღმოაჩინეს ღრუბელი ხარვეზები, მაგრამ მათი თქმით, მათ უპასუხეს ძალიან ცოტა რამ, ხოლო ყველაზე აპლიკაციები კვლავაც განაგრძობენ ღია მონაცემებს. სამწუხაროდ, Zimperium არ იწვევს დაზარალებულ განცხადებებს მათი ანგარიშში. გარდა ამისა, მკვლევარებს არ შეუძლიათ დაუყოვნებლივ აცნობონ ათობით ათასს დეველოპერებს.
ისინი, რომლებიც მათ განიხილეს ფართო სპექტრი: აპლიკაციებიდან რამდენიმე ათასი მომხმარებელიდან რამდენიმე მილიონამდე.
ერთი ამ განაცხადების არის მობილური საფულე კომპანია Fortune 500 სია, რომელიც უზრუნველყოფს ზოგიერთი ინფორმაცია მომხმარებლის სხდომები და ფინანსური მონაცემები. კიდევ ერთი მაგალითია სატრანსპორტო განაცხადი, სადაც გადასახადები ინახება ღია ფორმით. მკვლევარებმა ასევე აღმოაჩინეს ღია სამედიცინო განაცხადების გამოცდის შედეგები და მომხმარებლის პროფილების სურათებიც კი.
კომპანიას ჯერ არ შეეძლო შეაფასოს თუ არა თავდამსხმელებმა ექსპერტებმა აღმოაჩინეს რაიმე ხარვეზები. მაგრამ აღსანიშნავია, რომ ადვილი იქნება იმავე საჯაროდ ხელმისაწვდომი ინფორმაციის მოძიება, რომლებიც გამოიყენება მათი კვლევით. ჰაკერული ჯგუფები უკვე განახორციელებენ ამ ტიპის სკანირებას ვებ სერვისებში არასწორი ღრუბლოვანი კონფიგურაციების მოსაპოვებლად. გარდა ამისა, მკვლევარებმა აღმოაჩინეს, რომ ზოგიერთი არასწორი კონფიგურაცია საშუალებას მისცემს თავდამსხმელებს შეცვალონ ან გადაწერონ მონაცემები.
ასევე თემაზე: iOS 14 hacked და აჩვენა ეს ვიდეო
როგორ უზრუნველყოთ თქვენი მონაცემები?
ძირითადი Cloud სერვისის პროვაიდერები, როგორიცაა Amazon, უკვე გააკეთა ძალისხმევა აღმოაჩინოს შესაძლო არასწორი კონფიგურაციები და თავიდან ასაცილებლად მომხმარებელს მათ შესახებ, მაგრამ მაინც დამოკიდებულია დეველოპერებს, რადგან აუცილებელია აღმოფხვრა ეს ხარვეზები.
როგორც ჩანს, ბევრი მომსახურება, მათ შორის დიდი, სერიოზული პრობლემები აქვს უსაფრთხოების Cloud მონაცემების უსაფრთხოებას. უკაცრავად, ჩვენ ჯერ არ ვიცით ასეთი განაცხადების კონკრეტული სახელები, მაგრამ მე ვფიქრობ, რომ ეს ინფორმაცია მალე გაიხსნება.