Во текот на изминатите 10 години, популарноста на облак услуги остро расте. Веројатно го користите истиот iCloud, Google Disk или Yandex.disk Не заземајте место на компјутер или iPhone. Особено погодно што многу апликации ви дозволуваат да ги зачувате податоците во облакот. Но, како што се испостави, таквите апликации често се празни се однесуваат на безбедноста на овие корисници. Zimperium, кој е ангажиран во мобилната безбедност, откри дека десетици илјади IOS и Android апликации користат неточни конфигурации на облак сервис, поради кои кориснички податоци можат да се вчитаат речиси.
Специјалисти за безбедноста на информации спроведоа автоматска анализа на повеќе од 1,3 милиони апликации за Android и iOS за да ги идентификуваат заедничките неточни облак конфигурации кои го отвораат пристапот до кориснички податоци. Истражувачите откриле околу 84.000 Андроид апликации и речиси 47.000 iOS апликации кои користат јавни облак услуги, како што се Amazon Web Services, Google Cloud или Microsoft Azure, а не сопствените сервери. Од нив, истражувачите откриле неточни конфигурации на 14% од вкупниот број на програми - ова изнесува 11.877 апликации за Андроид и 6 608 IOS апликации. Податоците за апликацијата ги откриваат личните податоци на корисниците, лозинките, па дури и медицинските информации, пишува жичен.
Според експертите, многу од овие апликации имаат облачно складиште, кое не беше правилно конфигурирано од страна на инвеститорот или некој друг, и поради тоа, корисниците на корисниците се видливи за речиси секој.
Нова апликација ранливост во App Store
Истражувачите апелираа до неколку програмери на апликации во кои најдоа облак слабости, но, според нив, тие беа одговорени многу малку, а повеќето апликации продолжуваат да користат отворени податоци. За жал, Zimperium не ги повикува погодените апликации во нивниот извештај. Покрај тоа, истражувачите не можат веднаш да ги известат десетици илјади програмери.
Услугите што ги разгледаа покриваат широк опсег: од апликации со неколку илјади корисници пред апликации со неколку милиони.
Една од овие апликации е мобилен паричник од компанијата од листата Fortune 500, која обезбедува некои информации за корисничките сесии и финансиски податоци. Друг пример е транспортната апликација каде што плаќањата се чуваат во отворената форма. Истражувачите исто така откриле отворени медицински апликации со резултати од тестот, па дури и слики од кориснички профили.
Компанијата сé уште не е во можност да процени дали напаѓачите пронајдоа никакви слабости од оние што ги наоѓаат експертите. Но, се забележува дека тие ќе бидат лесно да се најдат со користење на истите јавно достапни информации дека zimperium се користи во нивното истражување. Хакерски групи веќе го спроведуваат овој вид скенирање за да најдат неточни облак конфигурации во веб-услуги. Покрај тоа, истражувачите откриле дека некои неточни конфигурации им овозможуваат на напаѓачите да ги менуваат или презапишуваат податоците.
Исто така на тема: iOS 14 хакирани и го покажаа на видео
Како да ги обезбедите вашите податоци?
Главните провајдери на облак, како што е Амазон, веќе вложија напори за откривање на можни неточни конфигурации и спречуваат клиенти за нив, но сепак многу зависи од програмерите, бидејќи е неопходно да се елиминираат овие слабости.
Се чини дека многу услуги, вклучувајќи и големи, имаат сериозни проблеми со безбедноста на облак податоци. За жал, ние се уште не ги знаеме специфичните имиња на такви апликации, но мислам дека оваа информација наскоро ќе се појави.