Under de senaste 10 åren har populariteten hos molntjänster ökat kraftigt. Du använder förmodligen samma iCloud, Google Disk eller Yandex.Disk att inte ta en plats på en dator eller iPhone. Särskilt bekvämt att många applikationer tillåter dig att lagra data i molnet. Men som det visat sig är sådana applikationer ofta tomma avser säkerheten hos dessa användare. Zimperium, som är engagerat i mobil säkerhet, fann att tiotusentals iOS och Android-applikationer använder felaktiga molntjänstkonfigurationer, på grund av vilka användardata som kan ladda nästan alla.
Informationssäkerhetsspecialister genomförde en automatisk analys av mer än 1,3 miljoner applikationer för Android och IOS för att identifiera vanliga felaktiga cloud-konfigurationer som öppnar tillgång till användardata. Forskare har upptäckt cirka 84 000 Android-applikationer och nästan 47 000 IOS-applikationer som använder offentliga molntjänster, som Amazon Web Services, Google Cloud eller Microsoft Azure, och inte egna servrar. Av dessa avslöjade forskarna felaktiga konfigurationer på 14% av det totala antalet program - det här är 11 877 applikationer för Android och 6 608 iOS-applikationer. Application Data avslöjar personlig information om användare, lösenord och till och med medicinsk information, skriver Wired.
Enligt experter har många av dessa applikationer ett molnigt förråd, som inte var korrekt konfigurerat av utvecklaren eller någon annan, och på grund av detta är användarna av användare synliga för nästan alla.
Ny ansökan sårbarhet i App Store
Forskarna överklagade flera applikationsutvecklare där de fann att moln sårbarheter, men enligt dem besvarades de väldigt få, och de flesta applikationer fortsätter att använda öppna data. Tyvärr ringer Zimperium inte berörda applikationer i sin rapport. Dessutom kan forskare inte meddela tiotusentals utvecklare omedelbart.
De tjänster de har ansett omfatta ett brett sortiment: från applikationer med flera tusen användare före applikationer med flera miljoner.
Ett av dessa applikationer är en mobil plånbok från företaget från Fortune 500-listan, som ger lite information om användaresessioner och finansiella data. Ett annat exempel är en transportansökan där betalningarna lagras i den öppna formen. Forskare upptäckte också öppna medicinska tillämpningar med testresultat och jämn bilder av användarprofiler.
Företaget har ännu inte kunnat uppskatta huruvida angriparna fann några sårbarheter från de som hittades av experter. Men det noteras att de kommer att vara lätta att hitta samma offentligt tillgängliga information som zimperium använde i sin forskning. Hackergrupper implementerar redan denna typ av skanning för att hitta felaktiga cloud-konfigurationer i webbtjänster. Dessutom fann forskarna att vissa felaktiga konfigurationer tillåter angripare att ändra eller skriva över data.
Också på ämnet: IOS 14 hackade och visade det på video
Hur säkrar du dina data?
De viktigaste molntjänstleverantörerna, som Amazon, har redan gjort ansträngningar för att upptäcka eventuella felaktiga konfigurationer och förhindra kunder om dem, men fortfarande beror mycket på utvecklarna, eftersom det är nödvändigt att eliminera dessa sårbarheter.
Det verkar som många tjänster, inklusive stora, har allvarliga problem med säkerheten för molndata. Tyvärr, vi vet inte de specifika namnen på sådana applikationer, men jag tror att den här informationen snart kommer att dyka upp.