Nos últimos 10 anos, a popularidade dos serviços de nuvem cresceu acentuadamente. Você provavelmente usa o mesmo iCloud, Google Disk ou Yandex.Disk para não tomar um lugar em um computador ou iPhone. Especialmente conveniente que muitos aplicativos permitem armazenar dados na nuvem. Mas, como se viu, essas aplicações geralmente estão vazias relacionadas à segurança desses usuários. Zimperium, que está envolvido na segurança móvel, descobriu que dezenas de milhares de aplicativos iOS e Android usam configurações incorretas de serviço de nuvem, devido a quais os dados do usuário podem carregar quase qualquer.
Os especialistas em segurança da informação realizaram uma análise automática de mais de 1,3 milhões de aplicativos para Android e iOS para identificar configurações comuns de nuvem incorretas que abram o acesso aos dados do usuário. Pesquisadores descobriram cerca de 84.000 aplicativos Android e quase 47.000 aplicativos iOS que usam serviços de nuvem pública, como o Amazon Web Services, o Google Cloud ou o Microsoft Azure, e não seus próprios servidores. Destes, os pesquisadores revelaram configurações incorretas em 14% do número total de programas - este é 11.877 aplicativos para Android e 6 608 aplicativos iOS. Os dados de aplicativos divulgam informações pessoais de usuários, senhas e até mesmo informações médicas, escreve com fio.
De acordo com especialistas, muitos desses aplicativos têm um repositório nublado, que não foi configurado corretamente pelo desenvolvedor ou por qualquer outra pessoa, e por isso, os usuários dos usuários são visíveis para quase todos.
Nova vulnerabilidade do aplicativo na App Store
Os pesquisadores apelaram para vários desenvolvedores de aplicativos em que encontraram vulnerabilidades em nuvem, mas, segundo eles, eles foram respondidos muito poucos, e a maioria dos aplicativos continua a usar dados abertos. Infelizmente, o Zimperium não chama aplicativos afetados em seu relatório. Além disso, os pesquisadores não podem notificar dezenas de milhares de desenvolvedores imediatamente.
Os serviços que eles consideraram cobrem uma ampla gama: de aplicativos com vários milhares de usuários antes de aplicações com vários milhões.
Uma dessas aplicações é uma carteira móvel da empresa a partir da lista Fortune 500, que fornece algumas informações sobre sessões de usuário e dados financeiros. Outro exemplo é um aplicativo de transporte onde os pagamentos são armazenados na forma aberta. Os pesquisadores também descobriram aplicativos médicos abertos com resultados de teste e até mesmo imagens de perfis de usuário.
A empresa ainda não foi capaz de estimar se os atacantes encontraram quaisquer vulnerabilidades daquelas encontradas por especialistas. Mas observa-se que eles serão fáceis de encontrar usando as mesmas informações publicamente disponíveis que o Zimperium é usado em sua pesquisa. Os grupos de hackers já implementam esse tipo de digitalização para encontrar configurações de nuvem incorretas em serviços da Web. Além disso, os pesquisadores descobriram que algumas configurações incorretas permitem que os invasores alterem ou sobrescrevam os dados.
Também no tópico: iOS 14 hackeado e mostrou-o em vídeo
Como proteger seus dados?
Os principais provedores de serviços de nuvem, como a Amazon, já fizeram esforços para detectar possíveis configurações incorretas e impedir que os clientes sobre eles, mas ainda dependem muito dos desenvolvedores, uma vez que é necessário eliminar essas vulnerabilidades.
Parece que muitos serviços, incluindo grandes, têm sérios problemas com a segurança dos dados da nuvem. Desculpe, ainda não sabemos os nomes específicos de tais aplicações, mas acho que esta informação logo aparecerá.