V zadnjih 10 letih se je priljubljenost storitev v oblaku močno povečala. Verjetno uporabljate isto iCloud, Google disk ali Yandex.Disk, da ne vzamete mesta na računalniku ali iPhone. Še posebej priročno, da vam veliko aplikacij omogoča shranjevanje podatkov v oblaku. Ampak, kot se je izkazalo, so takšne aplikacije pogosto prazne, se nanašajo na varnost teh uporabnikov. ZIMRIUM, ki se ukvarja z mobilno varnostjo, je pokazala, da deset tisoč aplikacij IOS in Android uporablja nepravilne konfiguracije storitev v oblaku, zaradi katerih lahko uporabniški podatki naložijo skoraj vse.
Strokovnjaki za informacijske varnosti so opravili avtomatsko analizo več kot 1,3 milijona aplikacij za Android in IOS, da bi opredelili skupne nepravilne konfiguracije oblak, ki odpirajo dostop do uporabniških podatkov. Raziskovalci so odkrili približno 84.000 aplikacij Android in skoraj 47.000 aplikacij IOS, ki uporabljajo storitve javnih oblakov, kot so spletne storitve Amazon, Google Cloud ali Microsoft Azure, in ne lastne strežnike. Od tega so raziskovalci razkrili napačne konfiguracije pri 14% skupnega števila programov - to je 11.877 aplikacij za Android in 6 608 IOS aplikacij. Podatki o aplikacijah razkrijejo osebne podatke uporabnikov, gesel in celo medicinskih informacij, piše žično.
Po mnenju strokovnjakov, mnoge od teh aplikacij imajo oblačno skladišče, ki ni bil pravilno konfiguriran z razvijalec ali kdorkoli drug, in zaradi tega, uporabniki uporabnikov so vidni skoraj vsakogar.
Nova ranljivost aplikacij v App Store
Raziskovalci so se pritožili na več aplikacijskih razvijalcev, v katerih so našli ranljivosti v oblaku, vendar so po mnenju na njih odgovorili zelo malo, večina aplikacij pa še naprej uporabljajo odprte podatke. Na žalost Zimperium v svojem poročilu ne zahteva prizadetih zahtevkov. Poleg tega raziskovalci ne morejo takoj obvestiti več deset tisoč razvijalcev.
Storitve, ki so jih obravnavale, pokrivajo široko paleto: od aplikacij z več tisoč uporabniki pred aplikacijami z več milijoni.
Ena od teh aplikacij je mobilna denarnica podjetja iz seznama Fortune 500, ki ponuja nekaj informacij o uporabniških sejah in finančnih podatkih. Drug primer je prometna aplikacija, kjer se plačila shranjujejo v odprti obrazec. Raziskovalci so odkrili tudi odprte medicinske aplikacije s preskusnimi rezultati in celo podobami uporabniških profilov.
Družba še ni mogla oceniti, ali so napadalci odkrili vse ranljivosti od tistih, ki jih strokovnjaki. Vendar je treba opozoriti, da bodo enostavno najti z uporabo istih javno dostopnih informacij, ki jih Zimrium uporablja v svojih raziskavah. Skupine Hacker že izvajajo to vrsto skeniranja, da bi našli nepravilne konfiguracije oblak v spletnih storitvah. Poleg tega so raziskovalci ugotovili, da nekatere nepravilne konfiguracije omogočajo napadalcem, da spremenijo ali prepišejo podatke.
Tudi na temo: iOS 14 je hacked in ga je pokazal na video
Kako zavarovati svoje podatke?
Glavni ponudniki storitev v oblaku, kot je Amazon, so že prizadevali za odkrivanje možnih nepravilnih konfiguracij in preprečevanjem strankam, vendar še vedno veliko odvisno od razvijalcev, saj je treba odpraviti te ranljivosti.
Zdi se veliko storitev, vključno z velikimi, imajo resne težave z varnostjo podatkov v oblaku. Oprostite, še ne poznamo posebnih imen takšnih aplikacij, vendar mislim, da se bodo te informacije kmalu pojavile.