So'nggi 10 yil ichida bulutli xizmatlarning ommaviyligi keskin o'sdi. Ehtimol siz bir xil iCloud, Google Disk yoki Yandex.Diskdan kompyuter yoki iPhone-da foydalanmang. Ko'pgina qulayliklar sizga bulutdagi ma'lumotlarni saqlashingizga imkon beradi. Ammo, shunga qaramay, bunday dasturlar ko'pincha ushbu foydalanuvchilarning xavfsizligiga bog'liq. Mobil xavfsizlik bilan shug'ullanadigan zimperiya, o'n minglab iOS va Android dasturlari noto'g'ri bulutli xizmat konfiguratsiyasidan foydalanganligini aniqladilar.
Axborot xavfsizligi bo'yicha mutaxassislari foydalanuvchi ma'lumotlariga kirish huquqini ochadigan umumiy noto'g'ri bulutli konfiguratsiyalarni aniqlash uchun Android va iOS uchun 1,3 milliondan ortiq talabnomalarni avtomatik tahlil qilishdi. Tadqiqotchilar 84 mingga yaqin Android dasturlarini kashf etishdi va Amazon Web Services, Google Clown yoki Microsoft Azure, o'z serverlari emas, balki jamoat bulutli xizmatlaridan foydalanmoqdalar. Shulardan, tadqiqotchilar dasturlarning umumiy sonining 14 foizida noto'g'ri konfiguratsiyalarni aniqladilar - android va 6 608 iOS dasturlari uchun 11,877 ta ariza. Ilova ma'lumotlari foydalanuvchilarning, parollar va hatto tibbiy ma'lumotlarning shaxsiy ma'lumotlarini oshkor qiladi, deb yozadi:
Mutaxassislarning fikriga ko'ra, ushbu dasturlarning aksariyati o'zgaruvchi yoki boshqa hech kim tomonidan to'g'ri sozlanmagan bulutli omborxonaga ega va ular tufayli foydalanuvchilar deyarli hech kim bilan ko'rinib turibdi.
App Store-dagi yangi dastur
Tadqiqotchilar bulutli zaifliklarni topgan bir nechta dasturlarni ishlab chiquvchilarga murojaat qilishdi, ammo ularga javob berildi, aksariyat dasturlar ochiq ma'lumotlarni ishlatishda davom etdilar. Afsuski, zimperium o'z hisobotida ta'sirlangan dasturlarni chaqirmaydi. Bundan tashqari, tadqiqotchilar o'nlab ishlab chiqaruvchilarni darhol xabardor qila olmaydi.
Ular ko'rib chiqilgan xizmatlar keng doirani qamrab olishdi: bir necha millionga yaqin dasturlardan oldin bir necha ming foydalanuvchiga murojaat qilish.
Ushbu dasturlardan biri - Fortune 500 ro'yxatidan kompaniyadan foydalanuvchi sessiyalari va moliyaviy ma'lumotlari haqida ba'zi ma'lumotlarni taqdim etadi. Yana bir misol, to'lovlar ochiq shaklda saqlanadigan transport dasturidir. Tadqiqotchilar shuningdek, test natijalari va hatto foydalanuvchilarning profillarining rasmlari bilan ochiq tibbiy dasturlar ham kashf etdilar.
Kompaniya hali hujum qiluvchilar ekspertlar tomonidan aniqlanganlarning zaifliklarini topganmi yoki yo'qligini taxmin qila olmagan. Ammo shuni ta'kidlanishicha, ular bir xil ommaviy axborot vositalaridan foydalanib, zimperapid o'z tadqiqotlarida ishlatilishi mumkin. Xaker guruhlari allaqachon veb-xizmatlarda noto'g'ri bulutli konfiguratsiyani topish uchun ushbu turdagi skanerni amalga oshiradilar. Bundan tashqari, tadqiqotchilar ba'zi noto'g'ri konfiguratsiyalar hujumchilarga ma'lumotlarni o'zgartirish yoki qayta yozishga imkon berishini aniqladilar.
Shuningdek, mavzu bo'yicha: iOS 14 xakerlik va uni videoga ko'rsatdi
Ma'lumotingizni qanday himoya qilish kerak?
Amazon kabi asosiy bulutli provayderlar, masalan, noto'g'ri noto'g'ri konfiguratsiyalarni aniqlash va ular haqida ko'p narsalarning oldini olish uchun harakat qilishdi, ammo bu juda ko'p zaiflikni yo'q qilish kerak.
Bu ko'plab xizmatlar, shu jumladan katta, bulutli ma'lumotlarning xavfsizligi bilan jiddiy muammolarga duch keladi. Kechirasiz, biz bunday dasturlarning o'ziga xos nomlarini hali bilmaymiz, lekin menimcha, yaqinda bu ma'lumotlar paydo bo'ladi.