Η Cercetare punct de control (CPR) a descoperit date sensibile în aplicatii mobile neprotejat și disponibil pentru oricine cu a Browser.
Ψarătând spre „VirusTotal", cel CPR el a găsit 2.113 aplicații mobile, ale căror baze de date în nor au fost neprotejați și expuși, toate în timpul unui studiu de cercetare de trei luni. Aplicațiile mobile au variat de la Peste 10.000 de descărcări, până la peste 10.000.000 de descărcări.
Η Cercetare punct de control (CPR) a constatat că datele sensibile ale unei game de aplicații mobile au fost expuse și disponibile pentru oricine are un browser. The VirusTotal, un afiliat Google, este un instrument online gratuit care analizează fișiere și adrese URL pentru a detecta viruși, troieni și alte forme de malware.
Datele sensibile găsite expuse de CPR inclus: fotografii personale de familie, ID-uri de cupon într-o aplicație de asistență medicală, date de pe platformele de schimb de criptomonede Și mult mai mult. CPR oferă câteva exemple de aplicații ale căror date au fost găsite expuse.
Într-una dintre ele, CPR găsit expus mai mult de 50.000 de mesaje private dintr-o aplicație populară de întâlniri. THE CPR avertizează cu cât de ușor poate apărea încălcarea datelor prin metoda descrisă și despre ce pot face dezvoltatorii de securitate cloud pentru a-și proteja mai bine aplicațiile. Pentru a evita exploatarea, CPR nu va enumera în prezent numele aplicațiilor mobile implicate în anchetă.
Metodologia de acces
Pentru a accesa bazele de date expuse, metodologia este simplă:
- Căutați aplicații mobile care comunică cu serviciile cloud la VirusTotal
- Arhivați cele care au acces direct la date
- Răsfoiți linkul primit
Comentariu: Lotem Finkelsteen, șeful departamentului de informații despre amenințări și cercetare la Check Point Software:
Un hacker poate întreba VirusTotal calea completă către backend-ul cloud al unei aplicații mobile. Noi înșine împărtășim câteva exemple din ceea ce am putea găsi acolo. Tot ce am găsit este disponibil pentru oricine. În cele din urmă, prin această cercetare demonstrăm cât de ușor este să se producă o breșă sau o exploatare a datelor.
Cantitatea de date care este deschisă și disponibilă pentru oricine din cloud este o nebunie. Este mult mai ușor de spart decât credem.
Cum să fii în siguranță:
Iată câteva sfaturi pentru a vă asigura că diferitele servicii cloud sunt sigure:
Amazon Web Services
AWS CloudGuard S3 Bucket Security
Regulă specifică: „Asigurați-vă că compartimentele S3 nu sunt accesibile publicului” ID regulă: D9.AWS.NET.06
Regulă specifică: „Asigurați-vă că gălețile S3 nu sunt accesibile publicului larg.” ID regulă: D9.AWS.NET.06
Platforma Google Cloud
Asigurați-vă că Cloud Storage DB nu este anonim sau accesibil public Codul regulii: D9.GCP.IAM.09
Asigurați-vă că baza de date de stocare în cloud nu este anonimă sau accesibilă publicului Codul regulii: D9.GCP.IAM.09
Microsoft Azure
Asigurați-vă că regula implicită de acces la rețea pentru Conturile de stocare este setată să refuze ID-ul regulii: D9.AZU.NET.24
Asigurați-vă că regula implicită de acces la rețea pentru conturile de stocare este setată să refuze ID-ul regulii D9.AZU.NET.24
COMUNICAT DE PRESĂ
Nu uitați să-l urmați Xiaomi-miui.gr la Știri Google pentru a fi informat imediat despre toate articolele noastre noi! De asemenea, dacă utilizați un cititor RSS, puteți adăuga pagina noastră la lista dvs., pur și simplu urmând acest link >> https://news.xiaomi-miui.gr/feed/gn