Son 10 yılda, bulut hizmetlerinin popülaritesi keskin bir şekilde büyüdü. Muhtemelen aynı iCloud, Google Diski veya Yandex.Disk'i bir bilgisayarda veya iPhone'da yer almamak için kullanırsınız. Özellikle birçok uygulamanın buluttaki verileri saklamanızı sağlar. Ancak, ortaya çıktığı gibi, bu tür uygulamalar genellikle bu kullanıcıların güvenliği ile ilgilidir. Mobil güvenlik ile uğraşan Zimperium, on binlerce iOS ve Android uygulamasının, kullanıcı verilerinin neredeyse herhangi birini yükleyebileceği nedeniyle yanlış bulut servis konfigürasyonlarını kullandığını buldu.
Bilgi Güvenlik Uzmanları, kullanıcı verilerine erişimi açıklayan ortak yanlış bulut yapılandırmalarını tanımlamak için Android ve iOS için 1,3 milyondan fazla uygulama için otomatik bir analiz yaptılar. Araştırmacılar, yaklaşık 84.000 Android uygulamasını ve Amazon Web Services, Google Cloud veya Microsoft Azure gibi kamu bulut hizmetlerini kullanan yaklaşık 47.000 iOS uygulamasını keşfettiler. Bunlardan, araştırmacılar toplam program sayısının% 14'ünde yanlış yapılandırmalar ortaya koydu - bu Android ve 6 608 iOS uygulamaları için 11.877 uygulamadır. Uygulama verileri, kullanıcıların, şifrelerin ve hatta tıbbi bilgilerin kişisel bilgilerini açıklar, kablolu yazar.
Uzmanlara göre, bu uygulamaların birçoğu, geliştirici veya başkası tarafından uygun şekilde yapılandırılmamış bulutlu bir depoya sahiptir ve bu nedenle, kullanıcıların kullanıcıları neredeyse herkes tarafından görülebilir.
App Store'da Yeni Uygulama Güvenlik Açığı
Araştırmacılar, bulut güvenlik açıkları buldukları çeşitli uygulamalara itirazda bulundular, ancak onlara göre çok az cevap verdiler ve çoğu uygulama açık veri kullanmaya devam ediyor. Ne yazık ki, Zimperium, etkilenen uygulamaları raporlarında çağırmaz. Ayrıca, araştırmacılar derhal on binlerce geliştiriciyi bilgilendiremezler.
Düşündükleri hizmetler geniş bir yelpazeyi kapsar: birkaç milyona sahip uygulamalardan önce birkaç bin kullanıcılı uygulamalardan.
Bu uygulamalardan biri, kullanıcı oturumları ve finansal veriler hakkında bazı bilgiler sağlayan Fortune 500 listesinden şirketten bir mobil cüzdandır. Başka bir örnek, ödemelerin açık formda saklandığı bir nakliye uygulamasıdır. Araştırmacılar ayrıca test sonuçları ve hatta kullanıcı profillerinin görüntüleri ile açık tıbbi uygulamaları keşfetti.
Şirket henüz saldırganların uzmanların bulunduğu yerlerden herhangi bir güvenlik açıkını bulmalarını henüz tahmin edememiştir. Ancak, Zimperium'un araştırmalarında kullanıldığı halka açık olan bilgileri kullanarak bulmak kolay olacağı belirtilmektedir. Hacker Grupları, web servislerinde hatalı bulut yapılandırmalarını bulmak için bu tür taramayı zaten uygulayın. Ek olarak, araştırmacılar bazı yanlış yapılandırmaların, saldırganların verileri değiştirmelerini veya üzerine yazmalarını sağladığını bulundu.
Ayrıca konuda: ios 14 hacklendi ve videoda gösterdi
Verilerinizi nasıl koruyabilirsiniz?
Amazon gibi ana bulut hizmeti sağlayıcıları, olası yanlış yapılandırmaları tespit etmek ve müşterilerin hakkında onları önlemek için çaba sarf etmiştir, ancak bu güvenlik açıklarını ortadan kaldırmak için gerekli olduğundan, geliştiricilere bağlıdır.
BÜYÜK DAHİL DAHİLDİR, BÜYÜK DAHA FAZLA GÜVENLİĞİNDE CİDDİ SORUNLARI GELİŞTİRİR. Üzgünüz, bu tür uygulamaların belirli isimlerini henüz tanımıyoruz, ancak bu bilgilerin yakında açılacağını düşünüyorum.