Za posledných 10 rokov sa popularita cloudových služieb prudko vzrástol. Pravdepodobne používate rovnaký iCloud, disk Google alebo Yandex.disk, aby ste si nebrali miesto na počítači alebo iPhone. Zvlášť výhodné, že mnohé aplikácie vám umožňujú ukladať údaje v oblaku. Ako sa však ukázalo, takéto aplikácie sú často prázdne, sa týkajú bezpečnosti týchto používateľov. Zimperium, ktorý sa zaoberá mobilnou bezpečnosťou, zistil, že desiatky tisíc iOS a Android aplikácií používajú nesprávne konfigurácie cloud service, kvôli tomu, ktoré môžu užívateľské dáta načítať takmer všetky.
Špecialisti na bezpečnosť informácií vykonali automatickú analýzu viac ako 1,3 milióna aplikácií pre Android a iOS na identifikáciu spoločných nesprávnych konfigurácií cloud, ktoré otvárajú prístup k užívateľským údajom. Výskumníci objavili približne 84 000 aplikácií pre Android a takmer 47.000 aplikácií iOS, ktoré využívajú verejné služby Cloud, ako napríklad Amazon Web Services, Google Cloud alebo Microsoft Azure, a nie jeho vlastné servery. Z nich výskumníci zistili nesprávne konfigurácie na 14% z celkového počtu programov - to je 11 877 aplikácií pre Android a 6 608 iOS aplikácií. Aplikačné údaje zverejnia osobné údaje užívateľov, hesiel a dokonca aj lekárskych informácií, píše káblové.
Podľa odborníkov, mnohé z týchto aplikácií majú zamračené archív, ktoré neboli riadne nakonfigurované developerom alebo kohokoľvek iného, a preto sú užívatelia používateľov viditeľné takmer s kýmkoľvek.
Nová chyba aplikácií v App Store
Výskumníci sa odvolali na niekoľko vývojárov aplikácií, v ktorých našli chyby cloud, ale podľa nich boli odpovedané veľmi málo, a väčšina aplikácií naďalej používajú otvorené údaje. Bohužiaľ, Zimperium v ich správe nevyvoláva dotknuté aplikácie. Okrem toho výskumníci okamžite oznámia desiatky tisíc vývojárov.
Služby, ktoré považovali za širokú škálu: z aplikácií s niekoľkými tisíckami používateľov pred aplikáciami s niekoľkými miliónmi.
Jednou z týchto aplikácií je mobilná peňaženka od spoločnosti zo zoznamu Fortune 500, ktorá poskytuje niektoré informácie o používateľských reláciách a finančných údajoch. Ďalším príkladom je prepravná aplikácia, ak sa platby uložia do otvorenej formy. Výskumníci tiež objavili otvorené lekárske aplikácie s výsledkami testov a dokonca aj snímky užívateľských profilov.
Spoločnosť ešte nebola schopná odhadnúť, či útočníci zistili akékoľvek zraniteľnosti z tých, ktoré našli odborníci. Treba však poznamenať, že budú ľahko nájsť používanie rovnakých verejne dostupných informácií, ktoré Zimperium používa v ich výskume. Hackerové skupiny už implementujú tento typ skenovania, aby ste našli nesprávne konfigurácie oblakov vo webových službách. Okrem toho výskumníci zistili, že niektoré nesprávne konfigurácie umožňujú útočníkom zmeniť alebo prepísať údaje.
Tiež na tému: iOS 14 hacknut a ukázal ho na videu
Ako zabezpečiť vaše údaje?
Hlavnými poskytovateľmi cloudových služieb, ako napríklad Amazon, už vynaložili úsilie o odhalenie možných nesprávnych konfigurácií a zabrániť zákazníkom o nich, ale stále závisí od vývojárov, pretože je potrebné odstrániť tieto zraniteľnosti.
Zdá sa, že mnoho služieb, vrátane veľkých, majú vážne problémy s bezpečnosťou cloudových údajov. Prepáčte, ešte nepoznáme konkrétne mená takýchto aplikácií, ale myslím si, že tieto informácie sa čoskoro vyskytujú.