一项调查显示,数量令人担忧的 Android 和 iOS 应用程序的云配置错误,导致许多用户数据泄露。然后黑客就可以访问个人和医疗数据,有时甚至可以清除帐户和密码!
津佩兰安全研究人员警告说令人担忧的现象。由于自动化测试,他们意识到数以万计的应用程序依赖于开发人员错误配置的云服务。这会暴露存储在那里的一些敏感数据。
Zimperium 是 Google 应用防御联盟的一部分它汇集了精心挑选的演员,他们的角色是,除了 Google Play 保护之外扫描Google Play 商店倒突出显示应用商店中的任何安全问题。这些不好的配置影响所有类别的应用程序。
云配置问题:所有应用程序类别均受影响
Zimperium解释发现同样的问题无论是下载量为数千的应用程序还是下载量为数百万的应用程序。由于问题的严重性,该组织不愿透露受影响的应用程序列表。
事实上,研究人员无法警告这么多开发人员。当他们这样做时,他们意识到有关方面的反应充其量是不够的。据该公司称,所涉及的应用程序包括财富 500 强公司发布的数字钱包,该钱包会暴露用户会话数据和财务数据。
还有带有测试结果的医疗应用程序,甚至是个人资料照片,都是纯文本形式,没有任何加密。 Zimperium 还讨论了一个大城市的交通应用程序的案例,该应用程序提供对银行数据的未加密访问。除了这些敏感的用户数据之外,研究人员有时会发现网络登录名/密码对、系统配置文件和服务器架构密钥。
另请阅读此示例:安全漏洞威胁Go SMS Pro应用程序,数以百万计的私人照片在野外
AWS、Azure、Google Cloud……开发人员忘记了他们是安全的唯一主人
足以给他们一个深入访问这些公司的IT基础设施。在一个案例中,研究人员甚至报告说服务器允许任何人删除或更改数据而无需升级权限。总之,该公司解释说,发现至少 20,000 个 Android 和 iOS 应用程序的云配置错误以至于威胁到用户的安全。
问题的根源无疑是现代网络和应用程序基于交钥匙云服务这使得开发人员可以主要关注应用程序的功能,而不是真正亲自构建和维护自己的云解决方案。
迄今为止,云领域主要有三个主要参与者:亚马逊网络服务 (AWS)、微软 Azure 和谷歌云平台。然而,如果这些平台确实简化了云基础设施的实施,它们不能保护开发人员免受应用程序中代码问题的影响。
因为他们只管理一小部分基础设施,开发人员往往会放松警惕。这就是为什么像 AWS 这样的服务会竭尽全力提前通知开发商当他们检测到配置问题时。然而,亚马逊和它的竞争对手一样,无法神奇地让这些配置问题消失。
“对于用户来说,这意味着个人数据可能会被暴露:医疗数据、测试结果、电话号码,甚至某些帐户的密码。然而,这对于企业来说也是一个风险。黑客可以获得有助于他们进行更深层次攻击的信息。”Shridhar Mittal 评论,Zimperium PDG。
因此,开发商应特别警惕。风险并非虚拟的:黑客组织不断扫描应用商店解决云配置问题。可以肯定的是,当我们编写这些行时,他们正在基于这些类型的错误进行谨慎的攻击。
目前,不幸的是用户无能为力。苹果已设置文件显示每个应用程序如何使用您的个人数据,这可以帮助您找到收集较少数据的应用程序。但无论是在 App Store 还是在 Play Store 上,没有什么能够真正让我们认识到给定应用程序的云解决方案的安全程度。
询问我们最新的!
太阳系中行星的略微倾斜和偏心的轨道长期以来一直引起科学家的兴趣。一项新的研究提出了一个令人着迷的理论:来自另一个恒星系统的巨大物体会破坏其最初的组织。太阳系...
消息
