Per pastaruosius 10 metų debesų paslaugų populiarumas smarkiai išaugo. Jūs tikriausiai naudosite tą patį "iCloud", "Google" diską ar "Yandex.Disk", kad nesikreiptumėte į kompiuterį ar "iPhone". Ypač patogu, kad daugelis programų leidžia saugoti duomenis į debesį. Tačiau, kaip paaiškėjo, tokios programos dažnai yra tuščios yra susijusios su šių naudotojų saugumu. Zimperium, kuris užsiima mobiliuoju saugumu, nustatė, kad dešimtys tūkstančių iOS ir "Android" programų naudoja neteisingus debesų paslaugų konfigūracijas, dėl kurių vartotojo duomenys gali įkelti beveik bet kurį.
Informacijos saugumo specialistai atliko automatinę analizę daugiau kaip 1,3 milijono programų "Android" ir "iOS" nustatyti bendrus neteisingus debesų konfigūracijas, kurios atidaro prieigą prie vartotojo duomenų. Mokslininkai atrado apie 84 000 "Android" programų ir beveik 47 000 "iOS" programų, naudojančių viešųjų debesų paslaugas, pvz., "Amazon Web Services", "Google" debesį ar "Microsoft" ir ne savo serverius. Iš jų mokslininkai atskleidė neteisingus konfigūracijas 14% viso programų - tai 11 877 paraiškos "Android" ir 6 608 IOS programas. Taikymo duomenys atskleidžia asmeninę informaciją apie naudotojus, slaptažodžius ir net medicininę informaciją, rašo laidinį.
Pasak ekspertų, daugelis iš šių programų turi drumstų saugyklą, kuri nebuvo tinkamai sukonfigūruota kūrėjas ar kas nors kitas, ir dėl to vartotojai yra matomi beveik visiems.
Naujas programos pažeidžiamumas "App Store"
Mokslininkai kreipėsi į keletą programų kūrėjų, kuriuose jie rado debesų pažeidžiamumą, bet, atsižvelgiant į juos, jie buvo atsakyta labai mažai, ir dauguma programų ir toliau naudoti atvirų duomenų. Deja, "Zimperium" neskambina įtakos jų ataskaitoje. Be to, tyrėjai negali nedelsiant pranešti dešimtys tūkstančių kūrėjų.
Paslaugos, kurias jie apsvarstė padengti platų asortimentą: nuo programų su keliais tūkstančiais vartotojų prieš paraiškas su keliais milijonais.
Viena iš šių programų yra mobilioji piniginė iš Bendrovės iš "Fortune 500" sąrašo, kuriame pateikiama informacija apie vartotojų sesijas ir finansinius duomenis. Kitas pavyzdys yra transporto programa, kurioje mokėjimai saugomi atviroje formoje. Mokslininkai taip pat atrado atviras medicinos programas su bandymų rezultatais ir netgi vartotojo profilių vaizdais.
Bendrovė dar negalėjo įvertinti, ar užpuolikai nustatė bet kokius ekspertų rasti pažeidžiamumą. Tačiau pažymima, kad jie bus lengvai rasti naudojant tą pačią viešai prieinamą informaciją, kurią Zimperium naudojo jų tyrimuose. "Hacker" grupės jau įgyvendina šį nuskaitymo tipą, kad surastumėte neteisingų debesų konfigūracijas žiniatinklio paslaugose. Be to, mokslininkai nustatė, kad kai kurios neteisingos konfigūracijos leidžia užpuoliams keisti arba perrašyti duomenis.
Taip pat temoje: "iOS 14" nulaužė ir parodė jį vaizdo įraše
Kaip apsaugoti savo duomenis?
Pagrindiniai debesų paslaugų teikėjai, pvz., "Amazon", jau stengėsi aptikti galimus neteisingus konfigūracijas ir užkirsti kelią klientams apie juos, bet vis dar labai priklauso nuo kūrėjų, nes būtina pašalinti šiuos pažeidžiamumus.
Atrodo daug paslaugų, įskaitant dideles, turi rimtų problemų su debesų duomenų saugumu. Atsiprašome, mes dar nežinome konkrečių tokių programų pavadinimų, bet manau, kad ši informacija netrukus iškels.