一項調查顯示,數量令人擔憂的 Android 和 iOS 應用程式的雲端配置錯誤,導致許多用戶資料外洩。然後駭客就可以存取個人和醫療數據,有時甚至可以清除帳戶和密碼!
津佩蘭安全研究人員警告說令人擔憂的現象。由於自動化測試,他們意識到數以萬計的應用程式依賴開發人員錯誤配置的雲端服務。這會暴露出儲存在那裡的一些敏感資料。
Zimperium 是 Google 應用程式防禦聯盟的一部分它匯集了精心挑選的演員,他們的角色是,除了 Google Play 保護之外掃描Google Play 商店倒突出顯示應用程式商店中的任何安全問題。這些不好的配置影響所有類別的應用程式。
雲端配置問題:所有應用程式類別均受影響
Zimperium解釋發現同樣的問題無論是下載量為數千的應用程式還是下載量為數百萬的應用程式。由於問題的嚴重性,該組織不願透露受影響的應用程式清單。
事實上,研究人員無法警告這麼多開發人員。當他們這樣做時,他們意識到有關方面的反應充其量是不夠的。據該公司稱,所涉及的應用程式包括財富 500 強公司發布的數位錢包,該錢包會暴露用戶會話數據和財務數據。
還有帶有測試結果的醫療應用程序,甚至是個人資料照片,都是純文字形式,沒有任何加密。 Zimperium 還討論了一個大城市的交通應用程式的案例,該應用程式提供對銀行資料的未加密存取。除了這些敏感的用戶資料之外,研究人員有時會發現網路登入名稱/密碼對、系統設定檔和伺服器架構金鑰。
另請閱讀此範例:安全漏洞威脅Go SMS Pro應用程序,數以百萬計的私人照片在野外
AWS、Azure、Google Cloud…開發人員忘記了他們是安全的唯一主人
足以給他們一個深入存取這些公司的IT基礎設施。在一個案例中,研究人員甚至報告說伺服器允許任何人刪除或更改資料而無需升級權限。總之,該公司解釋說,發現至少 20,000 個 Android 和 iOS 應用程式的雲端配置錯誤以至於威脅到用戶的安全。
問題的根源無疑是現代網路和應用程式基於交鑰匙雲端服務這使得開發人員可以主要專注於應用程式的功能,而不是真正親自建立和維護自己的雲端解決方案。
迄今為止,雲端領域主要有三個主要參與者:亞馬遜網路服務 (AWS)、微軟 Azure 和谷歌雲端平台。然而,如果這些平台確實簡化了雲端基礎設施的實施,它們不能保護開發人員免受應用程式中程式碼問題的影響。
因為他們只管理一小部分基礎設施,開發人員往往會放鬆警惕。這就是為什麼像 AWS 這樣的服務會竭盡全力提前通知開發商當他們偵測到配置問題時。然而,亞馬遜和它的競爭對手一樣,無法神奇地讓這些配置問題消失。
「對使用者來說,這意味著個人資料可能會暴露:醫療資料、測試結果、電話號碼,甚至某些帳戶的密碼。然而,這對企業來說也是一個風險。駭客可以獲得有助於他們進行更深層攻擊的資訊。Shridhar Mittal 評論,Zimperium PDG。
因此,開發商應特別警惕。風險並非虛擬的:駭客組織不斷掃描應用程式商店解決雲端配置問題。可以肯定的是,當我們編寫這些行時,他們正在基於這些類型的錯誤進行謹慎的攻擊。
目前,不幸的是用戶無能為力。蘋果已設定文件顯示每個應用程式如何使用您的個人數據,這可以幫助您找到收集較少數據的應用程式。但無論是在 App Store 還是 Play Store 上,沒有什麼能真正讓我們認識到給定應用程式的雲端解決方案的安全程度。
詢問我們最新的!
太陽系中行星的略微傾斜和偏心的軌道長期以來一直引起科學家的興趣。一項新的研究提出了一個令人著迷的理論:來自另一個恆星系統的巨大物體會破壞其最初的組織。太陽系...
訊息
