Η מחקר צ'ק פוינט (CPR) גילה נתונים רגישים ב אפליקציות ניידות לא מוגן וזמין לכל מי שיש לו א דפדפן.
Ψמצביע על "VirusTotal", ה החייאה הוא מצא 2.113 יישומים ניידים, שמאגרי המידע שלו נמצאים ענן לא היו מוגנים ונחשפים, והכל במהלך מחקר מחקר בן שלושה חודשים. יישומים ניידים נע בין 10.000+ הורדות עד 10.000.000+ הורדות.
Η מחקר צ'ק פוינט (CPR) גילה שהנתונים הרגישים של מגוון יישומים ניידים היו חשופים וזמינים לכל מי שיש לו דפדפן. ה VirusTotal, שלוחה של גוגל, הוא כלי מקוון חינמי שמנתח קבצים וכתובות URL כדי לזהות וירוסים, סוסים טרויאניים וצורות אחרות של תוכנות זדוניות.
הנתונים הרגישים שנמצאו חשופים על ידי החייאה כלול: תמונות משפחתיות אישיות, מזהי קופונים באפליקציית בריאות, נתונים מפלטפורמות החלפת מטבעות קריפטוגרפיים ועוד הרבה. החייאה מספקת מספר דוגמאות ליישומים שהנתונים שלהם נמצאו חשופים.
באחד מהם, החייאה נמצאה חשופה יותר מ 50.000 הודעות פרטיות מאפליקציית היכרויות פופולרית. ה החייאה מזהיר באיזו קלות פרצת נתונים יכולה להתרחש באמצעות השיטה המתוארת ומה מפתחי אבטחת ענן יכולים לעשות כדי להגן טוב יותר על היישומים שלהם. על מנת למנוע ניצול, החייאה לא תפרט כעת את שמות האפליקציות הניידות המעורבות בחקירה.
מתודולוגיית גישה
כדי לגשת למאגרי מידע חשופים, המתודולוגיה פשוטה:
- חפש יישומים ניידים המתקשרים עם שירותי ענן ב VirusTotal
- ארכיון אלה שיש להם גישה ישירה לנתונים
- עיין בקישור שקיבלת
הערה: לוטם פינקלשטיין, ראש תחום מודיעין ומחקר איומים בחברת צ'ק פוינט תוכנה:
האקר עשוי לשאול VirusTotal הנתיב המלא לחלק האחורי של הענן של אפליקציה לנייד. אנחנו בעצמנו חולקים כמה דוגמאות למה שיכולנו למצוא שם. כל מה שמצאנו זמין לכל אחד. לבסוף, עם המחקר הזה אנחנו מוכיחים כמה קל להתרחש פרצת נתונים או ניצול.
כמות הנתונים הפתוחים והזמינים לכל אחד בענן היא מטורפת. זה הרבה יותר קל לשבור ממה שאנחנו חושבים.
איך לשמור על בטיחות:
הנה כמה טיפים כדי להבטיח ששירותי הענן השונים שלך מאובטחים:
אמזון שירותי אינטרנט
AWS CloudGuard S3 Bucket Security
כלל ספציפי: "ודא שדלי S3 אינם נגישים לציבור" מזהה כלל: D9.AWS.NET.06
כלל ספציפי: "ודא שדלי S3 אינם נגישים לציבור הרחב". מזהה כלל: D9.AWS.NET.06
פלטפורמת Google Cloud
ודא ש-Cloud Storage DB אינו נגיש באופן אנונימי או ציבורי מזהה כלל: D9.GCP.IAM.09
ודא שמסד הנתונים של אחסון הענן אינו אנונימי או נגיש לציבור מזהה כלל: D9.GCP.IAM.09
Microsoft Azure
ודא שכלל ברירת המחדל של גישה לרשת עבור חשבונות אחסון מוגדר לדחות מזהה כלל: D9.AZU.NET.24
ודא שכלל ברירת המחדל של גישה לרשת עבור חשבונות אחסון מוגדר לדחות מזהה כלל D9.AZU.NET.24
ידיעה לתקשורת
אל תשכח לעקוב אחריו Xiaomi-miui.gr ב חדשות גוגל לקבל מידע מיידי על כל המאמרים החדשים שלנו! אתה יכול גם אם אתה משתמש בקורא RSS, להוסיף את הדף שלנו לרשימה שלך פשוט על ידי לחיצה על הקישור הזה >> https://news.xiaomi-miui.gr/feed/gn