In de afgelopen 10 jaar is de populariteit van Cloud Services sterk gegroeid. U gebruikt waarschijnlijk dezelfde iCloud, Google Disk of Yandex.Disk om geen plaats op een computer of een iPhone te maken. Vooral handig dat veel toepassingen u in staat stellen om gegevens in de cloud op te slaan. Maar zoals het bleek, zijn dergelijke toepassingen vaak leeg in verband met de veiligheid van deze gebruikers. Zimperium, dat zich bezighoudt met mobiele beveiliging, vond dat tienduizenden IOS en Android-applicaties onjuiste cloudservice-configuraties gebruiken, waardoor gebruikersgegevens bijna elk kunnen worden geladen.
Informatiebeveiligingsspecialisten voerden een automatische analyse uit van meer dan 1,3 miljoen applicaties voor Android en iOS om gemeenschappelijke onjuiste cloudconfiguraties te identificeren die toegang hebben tot gebruikersgegevens. Onderzoekers hebben ongeveer 84.000 Android-applicaties ontdekt en bijna 47.000 IOS-toepassingen die Public Cloud Services gebruiken, zoals Amazon Web Services, Google Cloud of Microsoft Azure, en niet zijn eigen servers. Hiervan onthulden de onderzoekers onjuiste configuraties op 14% van het totale aantal programma's - dit is 11.877 aanvragen voor Android en 6 608 IOS-toepassingen. Toepassingsgegevens onthullen persoonlijke informatie van gebruikers, wachtwoorden en zelfs medische informatie, schrijft wired.
Volgens deskundigen hebben veel van deze applicaties een bewolkte repository, die niet correct is geconfigureerd door de ontwikkelaar of iemand anders, en daarom zijn gebruikers van gebruikers zichtbaar voor bijna iedereen.
Nieuw toepassingsbescherming in de App Store
De onderzoekers hebben beroep ingediend bij verschillende toepassingenontwikkelaars waarin ze wolk kwetsbaarheden vonden, maar volgens hen werden ze zeer weinig beantwoord en de meeste toepassingen blijven open gegevens gebruiken. Helaas belt Zimperium geen aangetaste applicaties in hun rapport. Bovendien kunnen onderzoekers de tienduizenden ontwikkelaars niet onmiddellijk op de hoogte brengen.
De diensten die ze hebben overwogen om een breed bereik te beheren: van applicaties met enkele duizenden gebruikers vóór applicaties met enkele miljoenen.
Een van deze applicaties is een mobiele portemonnee van het bedrijf uit de lijst Fortune 500, die informatie geeft over gebruikerssessies en financiële gegevens. Een ander voorbeeld is een transportaanvraag waarbij de betalingen in het open formulier worden opgeslagen. Onderzoekers ontdekten ook open medische toepassingen met testresultaten en zelfs afbeeldingen van gebruikersprofielen.
Het bedrijf heeft nog niet in staat geweest om te schatten of de aanvallers eventuele kwetsbaarheden van die van deskundigen vonden. Maar er wordt opgemerkt dat ze gemakkelijk te vinden zijn met behulp van dezelfde openbare beschikbare informatie die Zimperium in hun onderzoek wordt gebruikt. Hacker-groepen implementeren dit type scan al om onjuiste cloudconfiguraties in Web Services te vinden. Bovendien ontdekten de onderzoekers dat sommige onjuiste configuraties aanvallers toestaan om de gegevens te wijzigen of te overschrijven.
Ook op het onderwerp: iOS 14 gehackt en toonde het op video
Hoe uw gegevens te beveiligen?
De belangrijkste cloud-serviceproviders, zoals Amazon, hebben al moeite gedaan om mogelijke onjuiste configuraties te detecteren en klanten over hen te voorkomen, maar nog steeds hangt er nog veel af van de ontwikkelaars, omdat het nodig is om deze kwetsbaarheden te elimineren.
Het lijkt erop dat veel diensten, inclusief groot, serieuze problemen hebben met de veiligheid van cloudgegevens. Sorry, we kennen de specifieke namen van dergelijke toepassingen nog niet, maar ik denk dat deze informatie binnenkort zal verschijnen.