I løpet av de siste 10 årene har populariteten til Cloud Services vokst kraftig. Du bruker sannsynligvis den samme iCloud, Google Disk eller Yandex.Disk for ikke å ta et sted på en datamaskin eller iPhone. Spesielt praktisk at mange applikasjoner tillater deg å lagre data i skyen. Men som det viste seg, er slike applikasjoner ofte tomme relaterte til sikkerheten til disse brukerne. Zimperium, som er engasjert i mobilsikkerhet, fant at titusenvis av IOS og Android-applikasjoner bruker feil cloud service konfigurasjoner, på grunn av hvilke brukerdata kan laste nesten alle.
Informasjonssikkerhetsspesialister gjennomførte en automatisk analyse av mer enn 1,3 millioner applikasjoner for Android og iOS for å identifisere vanlige feilskygte konfigurasjoner som åpner tilgang til brukerdata. Forskere har oppdaget om 84.000 Android-applikasjoner og nesten 47.000 iOS-applikasjoner som bruker offentlige skygtjenester, for eksempel Amazon Web Services, Google Cloud eller Microsoft Azure, og ikke sine egne servere. Av disse avslørte forskerne feil konfigurasjoner med 14% av det totale antall programmer - dette er 11.877 applikasjoner for Android og 6 608 IOS-applikasjoner. Programdata avslører personlig informasjon om brukere, passord og til og med medisinsk informasjon, skriver kablet.
Ifølge eksperter har mange av disse applikasjonene et overskyet arkiv, som ikke var riktig konfigurert av utvikleren eller noen andre, og på grunn av dette er brukere av brukere synlige for nesten alle.
Ny Sikkerhetsproblem i App Store
Forskerne appellerte til flere applikasjonsutviklere der de fant skyhulsikkerheter, men ifølge dem ble de besvart svært få, og de fleste applikasjoner fortsetter å bruke åpne data. Dessverre kaller Zimperium ikke berørte applikasjoner i sin rapport. I tillegg kan forskere ikke varsle titusenvis av utviklere umiddelbart.
Tjenestene de har vurdert dekker et bredt spekter: fra applikasjoner med flere tusen brukere før applikasjoner med flere millioner.
En av disse programmene er en mobil lommebok fra selskapet fra Fortune 500-listen, som gir litt informasjon om brukerøkter og økonomiske data. Et annet eksempel er et transportprogram hvor betalingene lagres i åpen form. Forskere oppdaget også åpne medisinske applikasjoner med testresultater og til og med bilder av brukerprofiler.
Selskapet har ennå ikke vært i stand til å estimere om angriperne fant noen sårbarheter fra de som ble funnet av eksperter. Men det bemerkes at de vil være enkle å finne med samme offentlig tilgjengelige informasjon som Zimperium som brukes i deres forskning. Hacker-grupper implementerer allerede denne typen skanning for å finne feil coud configurations i webtjenester. I tillegg fant forskerne at noen feil konfigurasjoner tillater angripere å endre eller overskrive dataene.
Også på emnet: iOS 14 hacket og viste det på video
Hvordan sikre dataene dine?
De viktigste cloud tjenesteleverandørene, som Amazon, har allerede gjort anstrengelser for å oppdage mulige feilkonfigurasjoner og forhindre kunder om dem, men fortsatt avhenger av utviklerne, siden det er nødvendig å eliminere disse sårbarhetene.
Det virker som mange tjenester, inkludert store, har alvorlige problemer med sikkerheten til skydata. Beklager, vi vet ennå ikke de spesifikke navnene på slike applikasjoner, men jeg tror at denne informasjonen snart kommer til å komme opp.