Η Badania punktów kontrolnych (CPR) odkrył wrażliwe dane w aplikacje mobilne niechronione i dostępne dla każdego z Przeglądarka.
Ψwskazując na "VirusTotal", ten CPR znalazł 2.113 aplikacji mobilnych, których bazy danych w chmura były niezabezpieczone i narażone, wszystko podczas trzymiesięcznego badania naukowego. Aplikacje mobilne wahały się od 10.000 10.000.000+ pobrań do XNUMX XNUMX XNUMX+ pobrań.
Η Badania punktów kontrolnych (CPR) odkryli, że wrażliwe dane szeregu aplikacji mobilnych zostały ujawnione i dostępne dla każdego, kto ma przeglądarkę. ten VirusTotal, podmiot stowarzyszony Google, to bezpłatne narzędzie online, które analizuje pliki i adresy URL w celu wykrywania wirusów, trojanów i innych form złośliwego oprogramowania.
Dane wrażliwe, które zostały ujawnione przez CPR w zestawie: osobiste zdjęcia rodzinne, identyfikatory kuponów w aplikacji medycznej, dane z platform wymiany kryptowalut I wiele więcej. CPR podaje kilka przykładów aplikacji, których dane zostały ujawnione.
W jednym z nich resuscytację krążeniowo-oddechową wykryto więcej niż 50.000 XNUMX prywatnych wiadomości z popularnej aplikacji randkowej. TEN CPR ostrzega o tym, jak łatwo może dojść do naruszenia danych za pomocą opisanej metody i co twórcy zabezpieczeń w chmurze mogą zrobić, aby lepiej chronić swoje aplikacje. Aby uniknąć wykorzystywania, CPR nie będzie obecnie wymieniać nazw aplikacji mobilnych objętych dochodzeniem.
Metodologia dostępu
Aby uzyskać dostęp do ujawnionych baz danych, metodologia jest prosta:
- Wyszukaj aplikacje mobilne, które komunikują się z usługami w chmurze pod adresem VirusTotal
- Archiwizuj te, które mają bezpośredni dostęp do danych
- Przeglądaj otrzymany link
Komentarz: Lotem Finkelsteen, szef działu analizy i badań zagrożeń w firmie Check Point Software:
Haker może zapytać VirusTotal pełna ścieżka do zaplecza w chmurze aplikacji mobilnej. Sami dzielimy się kilkoma przykładami tego, co mogliśmy tam znaleźć. Wszystko, co znaleźliśmy, jest dostępne dla każdego. Wreszcie, dzięki tym badaniom udowadniamy, jak łatwo może dojść do naruszenia lub wykorzystania danych.
Ilość danych, które są otwarte i dostępne dla każdego w chmurze, jest szalona. Łatwiej jest się złamać, niż nam się wydaje.
Jak zachować bezpieczeństwo:
Oto kilka wskazówek, które zapewnią bezpieczeństwo różnych usług w chmurze:
Amazon Web Services
Bezpieczeństwo zasobnika AWS CloudGuard S3
Szczegółowa zasada: „Upewnij się, że zasobniki S3 nie są publicznie dostępne” Identyfikator reguły: D9.AWS.NET.06
Szczegółowa zasada: „Upewnij się, że zasobniki S3 nie są dostępne dla ogółu społeczeństwa”. Identyfikator reguły: D9.AWS.NET.06
Platforma Google Cloud
Upewnij się, że Cloud Storage DB nie jest dostępny anonimowo ani publicznie Identyfikator reguły: D9.GCP.IAM.09
Upewnij się, że baza danych przechowywania w chmurze nie jest anonimowa ani publicznie dostępna Identyfikator reguły: D9.GCP.IAM.09
Azure firmy Microsoft
Upewnij się, że domyślna reguła dostępu do sieci dla kont magazynu jest ustawiona na odrzucanie identyfikatora reguły: D9.AZU.NET.24
Upewnij się, że domyślna reguła dostępu do sieci dla kont magazynu jest ustawiona na odrzucanie identyfikatora reguły D9.AZU.NET.24
Komunikat prasowy
Nie zapomnij tego przestrzegać Xiaomi-miui.gr w wiadomości Google być natychmiast informowanym o wszystkich naszych nowych artykułach! Jeśli korzystasz z czytnika RSS, możesz również dodać naszą stronę do swojej listy, klikając ten link >> https://news.xiaomi-miui.gr/feed/gn