Η Check Point Research (CPR) löysi arkaluontoisia tietoja mobiilisovelluksia suojaamaton ja kaikkien saatavilla, joilla on a Selain.
Ψosoittaa "VirusTotal", CPR hän löysi 2.113 XNUMX mobiilisovellusta, jonka tietokannat ovat pilvi olivat suojaamattomia ja alttiina, kaikki kolmen kuukauden tutkimustutkimuksen aikana. Mobiilisovellukset vaihtelivat 10.000 10.000.000+ latausta jopa XNUMX XNUMX XNUMX+ latausta.
Η Check Point Research (CPR) havaitsi, että useiden mobiilisovellusten arkaluontoiset tiedot olivat esillä ja kaikkien selaimen käytettävissä. The VirusTotal, Googlen tytäryhtiö, on ilmainen online-työkalu, joka analysoi tiedostoja ja URL-osoitteita virusten, troijalaisten ja muiden haittaohjelmien havaitsemiseksi.
Arkaluontoiset tiedot, jotka on paljastanut CPR mukana: henkilökohtaiset perhekuvat, kuponkitunnukset terveydenhuoltosovelluksessa, data kryptovaluutanvaihtoalustoilta Ja paljon enemmän. CPR tarjoaa useita esimerkkejä sovelluksista, joiden tiedot havaittiin paljastuneena.
Yhdessä niistä CPR havaitsi altistuneen enemmän kuin 50.000 XNUMX yksityisviestiä suositusta treffisovelluksesta. THE CPR varoittaa, kuinka helposti kuvatulla menetelmällä voi tapahtua tietomurtoja ja mitä pilviturvallisuuden kehittäjät voivat tehdä sovellusten suojaamiseksi paremmin. Hyödyntämisen välttämiseksi CPR ei tällä hetkellä listaa tutkinnassa mukana olevien mobiilisovellusten nimiä.
Pääsymenetelmät
Tietokantoihin pääsy on yksinkertainen:
- Etsi mobiilisovelluksia, jotka kommunikoivat pilvipalvelujen kanssa osoitteessa VirusTotal
- Arkistoi ne, joilla on suora pääsy tietoihin
- Selaa saamaasi linkkiä
Kommentti: Lotem Finkelsteen, Check Point Softwaren uhkien tiedustelu- ja tutkimusjohtaja:
Hakkeri voi kysyä VirusTotal täydellinen polku mobiilisovelluksen pilvitaustaohjelmaan. Jaamme itse esimerkkejä siitä, mitä voisimme löytää sieltä. Kaikki löytämämme on kaikkien saatavilla. Lopuksi, tällä tutkimuksella todistamme, kuinka helppoa on tapahtua tietomurron tai hyödyntämisen.
Avoimen ja pilvessä kenen tahansa saatavilla olevan datan määrä on mieletön. Se on paljon helpompi rikkoa kuin uskommekaan.
Näin pysyt turvassa:
Tässä on muutamia vinkkejä, joiden avulla voit varmistaa pilvipalveluidesi turvallisuuden:
Amazon Web Services
AWS CloudGuard S3 Bucket Security
Erityissääntö: "Varmista, että S3-ämpärit eivät ole julkisesti saatavilla" Säännön tunnus: D9.AWS.NET.06
Erityissääntö: "Varmista, että S3-ämpärit eivät ole suuren yleisön saatavilla." Säännön tunnus: D9.AWS.NET.06
Google Cloud Platform
Varmista, että Cloud Storage DB ei ole anonyymisti tai julkisesti käytettävissä Säännön tunnus: D9.GCP.IAM.09
Varmista, että pilvitallennustietokanta ei ole anonyymi tai julkisesti saatavilla Säännön tunnus: D9.GCP.IAM.09
Microsoft Azure
Varmista, että tallennustilien oletusarvoinen verkkokäyttösääntö on asetettu estämään sääntötunnus: D9.AZU.NET.24
Varmista, että tallennustilien oletusarvoinen verkkokäyttösääntö on asetettu estämään sääntötunnus D9.AZU.NET.24
Lehdistötiedote
Älä unohda seurata sitä Xiaomi-miui.gr at Google Uutiset saada heti tiedon kaikista uusista artikkeleistamme! Jos käytät RSS-lukijaa, voit myös lisätä sivumme listallesi seuraamalla tätä linkkiä >> https://news.xiaomi-miui.gr/feed/gn