Trong 10 năm qua, sự phổ biến của các dịch vụ đám mây đã phát triển mạnh mẽ. Bạn có thể sử dụng cùng một icloud, Google Disk hoặc Yandex.Disk không có một vị trí trên máy tính hoặc iPhone. Đặc biệt thuận tiện rằng nhiều ứng dụng cho phép bạn lưu trữ dữ liệu trong đám mây. Nhưng, như nó bật ra, các ứng dụng như vậy thường trống rỗng liên quan đến bảo mật của những người dùng này. Zimperium, được tham gia vào an ninh di động, phát hiện ra rằng hàng chục ngàn ứng dụng iOS và Android sử dụng các cấu hình dịch vụ đám mây không chính xác, do dữ liệu người dùng có thể tải gần như bất kỳ.
Các chuyên gia bảo mật thông tin đã thực hiện một phân tích tự động hơn 1,3 triệu ứng dụng cho Android và iOS để xác định các cấu hình đám mây không chính xác phổ biến mở quyền truy cập vào dữ liệu người dùng. Các nhà nghiên cứu đã phát hiện ra khoảng 84.000 ứng dụng Android và gần 47.000 ứng dụng iOS sử dụng các dịch vụ đám mây công cộng, chẳng hạn như Dịch vụ web của Amazon, Google Cloud hoặc Microsoft Azure và không phải máy chủ của chính nó. Trong số này, các nhà nghiên cứu đã tiết lộ các cấu hình không chính xác ở mức 14% tổng số chương trình - đây là 11.877 ứng dụng cho các ứng dụng Android và 6 608 iOS. Dữ liệu ứng dụng tiết lộ thông tin cá nhân của người dùng, mật khẩu và thậm chí thông tin y tế, viết có dây.
Theo các chuyên gia, nhiều ứng dụng này có kho lưu trữ nhiều mây, không được cấu hình đúng bởi nhà phát triển hoặc bất kỳ ai khác, và vì điều này, người dùng người dùng có thể nhìn thấy gần như bất kỳ ai.
Lỗ hổng ứng dụng mới trong App Store
Các nhà nghiên cứu đã kêu gọi một số nhà phát triển ứng dụng mà họ tìm thấy các lỗ hổng của đám mây, nhưng, theo họ, họ đã được trả lời rất ít, và hầu hết các ứng dụng tiếp tục sử dụng dữ liệu mở. Thật không may, Zimperium không gọi các ứng dụng bị ảnh hưởng trong báo cáo của họ. Ngoài ra, các nhà nghiên cứu không thể thông báo hàng chục ngàn nhà phát triển ngay lập tức.
Các dịch vụ họ đã xem xét bao gồm một phạm vi rộng: từ các ứng dụng với vài nghìn người dùng trước khi ứng dụng với vài triệu.
Một trong những ứng dụng này là một ví di động từ công ty từ danh sách Fortune 500, cung cấp một số thông tin về các phiên người dùng và dữ liệu tài chính. Một ví dụ khác là một ứng dụng vận chuyển nơi các khoản thanh toán được lưu trữ ở dạng mở. Các nhà nghiên cứu cũng đã phát hiện ra các ứng dụng y tế mở với kết quả kiểm tra và thậm chí hình ảnh của hồ sơ người dùng.
Công ty vẫn chưa thể ước tính xem những kẻ tấn công có tìm thấy bất kỳ lỗ hổng nào từ những người được tìm thấy bởi các chuyên gia. Nhưng nó được lưu ý rằng họ sẽ dễ dàng tìm thấy bằng cách sử dụng cùng một thông tin có sẵn công khai mà Zimperium được sử dụng trong nghiên cứu của họ. Các nhóm tin tặc đã triển khai loại quét này để tìm các cấu hình đám mây không chính xác trong các dịch vụ web. Ngoài ra, các nhà nghiên cứu phát hiện ra rằng một số cấu hình không chính xác cho phép kẻ tấn công thay đổi hoặc ghi đè lên dữ liệu.
Ngoài ra về chủ đề: iOS 14 bị hack và hiển thị nó trên video
Làm thế nào để bảo mật dữ liệu của bạn?
Các nhà cung cấp dịch vụ đám mây chính, chẳng hạn như Amazon, đã nỗ lực phát hiện các cấu hình không chính xác có thể và ngăn khách hàng về họ, nhưng vẫn phụ thuộc nhiều vào các nhà phát triển, vì cần phải loại bỏ các lỗ hổng này.
Có vẻ như nhiều dịch vụ, bao gồm lớn, có vấn đề nghiêm trọng với sự an toàn của dữ liệu đám mây. Xin lỗi, chúng tôi chưa biết tên cụ thể của các ứng dụng như vậy, nhưng tôi nghĩ thông tin này sẽ sớm bật lên.