Sepanjang 10 tahun yang lalu, populariti perkhidmatan awan telah meningkat dengan ketara. Anda mungkin menggunakan iCloud yang sama, Disk Google atau Yandex.Disk tidak mengambil tempat di komputer atau iPhone. Terutama mudah bahawa banyak aplikasi yang membolehkan anda menyimpan data di awan. Tetapi, seperti yang ternyata, aplikasi sedemikian sering kosong berkaitan dengan keselamatan pengguna ini. Zimperium, yang terlibat dalam keselamatan mudah alih, mendapati bahawa puluhan ribu aplikasi iOS dan Android menggunakan konfigurasi perkhidmatan awan yang salah, kerana data pengguna boleh memuat hampir apa-apa.
Pakar keselamatan maklumat menjalankan analisis automatik lebih daripada 1.3 juta aplikasi untuk Android dan iOS untuk mengenal pasti konfigurasi awan yang tidak betul yang membuka akses kepada data pengguna. Penyelidik telah menemui kira-kira 84,000 aplikasi Android dan hampir 47,000 aplikasi iOS yang menggunakan perkhidmatan awan awam, seperti Amazon Web Services, Google Cloud atau Microsoft Azure, dan bukan pelayannya sendiri. Daripada jumlah ini, para penyelidik mendedahkan konfigurasi yang salah pada 14% daripada jumlah program - ini adalah 11,877 aplikasi untuk aplikasi Android dan 6 608 iOS. Data aplikasi mendedahkan maklumat peribadi pengguna, kata laluan dan juga maklumat perubatan, menulis berwayar.
Menurut pakar, banyak aplikasi ini mempunyai repositori yang mendung, yang tidak dikonfigurasi dengan betul oleh pemaju atau orang lain, dan kerana ini, pengguna pengguna dapat dilihat oleh hampir semua orang.
Kerentanan Permohonan Baru di App Store
Para penyelidik merayu kepada beberapa pemaju aplikasi di mana mereka mendapati kelemahan awan, tetapi, menurut mereka, mereka dijawab sangat sedikit, dan kebanyakan aplikasi terus menggunakan data terbuka. Malangnya, Zimperium tidak memanggil aplikasi yang terjejas dalam laporan mereka. Di samping itu, penyelidik tidak boleh memberitahu puluhan ribu pemaju dengan segera.
Perkhidmatan yang mereka pertimbangkan meliputi pelbagai jenis: dari aplikasi dengan beberapa ribu pengguna sebelum permohonan dengan beberapa juta.
Salah satu aplikasi ini adalah dompet mudah alih dari syarikat dari senarai Fortune 500, yang memberikan beberapa maklumat mengenai sesi pengguna dan data kewangan. Satu lagi contoh adalah aplikasi pengangkutan di mana pembayaran disimpan dalam bentuk terbuka. Penyelidik juga menemui aplikasi perubatan terbuka dengan keputusan ujian dan juga imej profil pengguna.
Syarikat itu belum dapat menganggarkan sama ada penyerang mendapati apa-apa kelemahan daripada yang dijumpai oleh pakar. Tetapi diperhatikan bahawa mereka akan mudah untuk mencari menggunakan maklumat yang sama yang sama yang digunakan Zimperium dalam penyelidikan mereka. Kumpulan penggodam telah melaksanakan jenis imbasan ini untuk mencari konfigurasi awan yang salah dalam perkhidmatan web. Di samping itu, para penyelidik mendapati bahawa beberapa konfigurasi yang salah membolehkan penyerang mengubah atau menimpa data.
Juga mengenai topik: iOS 14 digodam dan menunjukkannya pada video
Bagaimana untuk mendapatkan data anda?
Penyedia perkhidmatan awan utama, seperti Amazon, telah membuat usaha untuk mengesan kemungkinan konfigurasi yang salah dan mencegah pelanggan tentang mereka, tetapi masih banyak bergantung kepada pemaju, kerana perlu untuk menghapuskan kelemahan ini.
Nampaknya banyak perkhidmatan, termasuk yang besar, mempunyai masalah serius dengan keselamatan data awan. Maaf, kami masih belum tahu nama-nama khusus aplikasi tersebut, tetapi saya fikir maklumat ini akan muncul.