ในช่วง 10 ปีที่ผ่านมาความนิยมของบริการคลาวด์ได้เติบโตอย่างรวดเร็ว คุณอาจใช้ iCloud เดียวกันกับดิสก์ Google หรือ Yandex.disk ไม่ควรใช้เวลาบนคอมพิวเตอร์หรือ iPhone สะดวกโดยเฉพาะอย่างยิ่งที่แอปพลิเคชั่นจำนวนมากอนุญาตให้คุณเก็บข้อมูลในคลาวด์ แต่เมื่อปรากฎว่าแอปพลิเคชันดังกล่าวมักจะว่างเปล่าเกี่ยวข้องกับความปลอดภัยของผู้ใช้เหล่านี้ Zimperium ซึ่งมีส่วนร่วมในการรักษาความปลอดภัยมือถือพบว่าแอปพลิเคชัน iOS และ Android นับหมื่นใช้การกำหนดค่าบริการคลาวด์ที่ไม่ถูกต้องเนื่องจากข้อมูลผู้ใช้สามารถโหลดได้เกือบทุกชนิด
ผู้เชี่ยวชาญด้านความปลอดภัยของข้อมูลดำเนินการวิเคราะห์อัตโนมัติมากกว่า 1.3 ล้านแอปพลิเคชันสำหรับ Android และ iOS เพื่อระบุการกำหนดค่าคลาวด์ที่ไม่ถูกต้องที่ไม่ถูกต้องที่เปิดการเข้าถึงข้อมูลผู้ใช้ นักวิจัยได้ค้นพบแอปพลิเคชั่น Android ประมาณ 84,000 รายการและเกือบ 47,000 แอปพลิเคชัน iOS ที่ใช้บริการคลาวด์สาธารณะเช่น Amazon Web Services, Google Cloud หรือ Microsoft Azure และไม่ใช่เซิร์ฟเวอร์ของตัวเอง จากสิ่งเหล่านี้นักวิจัยเปิดเผยการกำหนดค่าที่ไม่ถูกต้องที่ 14% ของจำนวนโปรแกรมทั้งหมด - นี่คือแอปพลิเคชั่น 11,877 แอปพลิเคชันสำหรับ Android และแอปพลิเคชั่น iOS 6 608 ข้อมูลแอปพลิเคชันเปิดเผยข้อมูลส่วนบุคคลของผู้ใช้รหัสผ่านและข้อมูลทางการแพทย์ให้เขียนแบบมีสาย
ตามที่ผู้เชี่ยวชาญมีการใช้งานแอพพลิเคชั่นเหล่านี้จำนวนมากมีที่เก็บที่มีเมฆมากซึ่งไม่ได้กำหนดค่าอย่างถูกต้องโดยนักพัฒนาหรือผู้อื่นและด้วยเหตุนี้ผู้ใช้ของผู้ใช้จะสามารถมองเห็นได้เกือบทุกคน
ช่องโหว่แอปพลิเคชันใหม่ใน App Store
นักวิจัยอุทธรณ์ไปยังนักพัฒนาแอพพลิเคชั่นหลายคนที่พวกเขาพบช่องโหว่ของระบบคลาวด์ แต่ตามที่พวกเขาได้รับคำตอบน้อยมากและแอปพลิเคชั่นส่วนใหญ่ยังคงใช้ข้อมูลที่เปิดอยู่ต่อไป น่าเสียดายที่ Zimperium ไม่ได้เรียกใช้งานแอปพลิเคชันที่ได้รับผลกระทบในรายงานของพวกเขา นอกจากนี้นักวิจัยไม่สามารถแจ้งนักพัฒนาได้หลายหมื่นคนทันที
บริการที่พวกเขาได้รับการพิจารณาครอบคลุมหลากหลาย: จากการใช้งานที่มีผู้ใช้หลายพันคนก่อนการใช้งานที่มีหลายล้านคน
หนึ่งในแอปพลิเคชันเหล่านี้คือกระเป๋าเงินมือถือจาก บริษัท จากรายการ Fortune 500 ซึ่งให้ข้อมูลเกี่ยวกับเซสชันผู้ใช้และข้อมูลทางการเงิน อีกตัวอย่างหนึ่งคือแอปพลิเคชันการขนส่งที่เก็บการชำระเงินในแบบฟอร์มเปิด นักวิจัยยังค้นพบแอปพลิเคชั่นทางการแพทย์แบบเปิดด้วยผลการทดสอบและภาพของโปรไฟล์ผู้ใช้
บริษัท ยังไม่สามารถประเมินได้ว่าผู้โจมตีพบช่องโหว่ใด ๆ จากที่ผู้เชี่ยวชาญที่พบหรือไม่ แต่มันเป็นที่ตั้งข้อสังเกตว่าพวกเขาจะหาได้ง่ายโดยใช้ข้อมูลที่เปิดเผยต่อสาธารณชนที่ Zimperium ใช้ในการวิจัยของพวกเขา กลุ่มแฮ็กเกอร์ใช้การสแกนประเภทนี้แล้วเพื่อค้นหาการกำหนดค่าคลาวด์ที่ไม่ถูกต้องในเว็บเซอร์วิส นอกจากนี้นักวิจัยพบว่าการกำหนดค่าที่ไม่ถูกต้องบางอย่างอนุญาตให้ผู้โจมตีเปลี่ยนหรือเขียนทับข้อมูล
นอกจากนี้ในหัวข้อ: iOS 14 แฮ็คและแสดงให้เห็นในวิดีโอ
วิธีรักษาความปลอดภัยข้อมูลของคุณ?
ผู้ให้บริการคลาวด์หลักเช่น Amazon ได้พยายามตรวจจับการกำหนดค่าที่ไม่ถูกต้องที่เป็นไปได้และป้องกันไม่ให้ลูกค้าเกี่ยวกับพวกเขา แต่ยังคงขึ้นอยู่กับนักพัฒนาเนื่องจากจำเป็นต้องกำจัดช่องโหว่เหล่านี้
ดูเหมือนว่าบริการจำนวนมากรวมถึงมีขนาดใหญ่มีปัญหาร้ายแรงกับความปลอดภัยของข้อมูลคลาวด์ ขออภัยเรายังไม่ทราบชื่อเฉพาะของแอปพลิเคชันดังกล่าว แต่ฉันคิดว่าข้อมูลนี้จะปรากฏขึ้นในไม่ช้า