Η Исследования Check Point (CPR) обнаружил конфиденциальные данные в мобильные приложения незащищенным и доступным для всех, у кого есть браузер.
Ψуказывает на "VirusTotal", КПП он нашел 2.113 мобильных приложений, чьи базы данных в облако были незащищены и подверглись воздействию, все в течение трехмесячного исследования. Мобильные приложения варьировались от 10.000 10.000.000+ загрузок до XNUMX XNUMX XNUMX+ загрузок.
Η Исследования Check Point (CPR) обнаружил, что конфиденциальные данные ряда мобильных приложений были раскрыты и доступны любому, у кого есть браузер. То VirusTotal, дочерняя компания Google, представляет собой бесплатный онлайн-инструмент, который анализирует файлы и URL-адреса для обнаружения вирусов, троянов и других видов вредоносных программ.
Конфиденциальные данные, обнаруженные КПП включены: личные семейные фотографии, идентификаторы купонов в приложении для здравоохранения, данные с бирж криптовалют И многое другое. CPR предоставляет несколько примеров приложений, данные которых были обнаружены незащищенными.
В одном из них СЛР обнаружила облучение более 50.000 XNUMX личных сообщений из популярного приложения для знакомств. НАШИ КПП предупреждает о том, как легко может произойти утечка данных с помощью описанного метода и что разработчики облачной безопасности могут сделать, чтобы лучше защитить свои приложения. Во избежание эксплуатации CPR в настоящее время не будет перечислять названия мобильных приложений, задействованных в расследовании.
Методология доступа
Чтобы получить доступ к открытым базам данных, методология проста:
- Найдите мобильные приложения, взаимодействующие с облачными сервисами, на VirusTotal
- Архивировать те, которые имеют прямой доступ к данным
- Просмотрите полученную ссылку
Комментарий: Лотем Финкельстин, руководитель отдела анализа угроз и исследований в Check Point Software:
Хакер может спросить VirusTotal полный путь к облачному серверу мобильного приложения. Мы сами делимся некоторыми примерами того, что смогли там найти. Все, что мы нашли, доступно любому. Наконец, с помощью этого исследования мы доказываем, насколько легко может произойти утечка или эксплуатация данных.
Объем данных, которые открыты и доступны для всех в облаке, безумен. Сломать намного проще, чем мы думаем.
Как оставаться в безопасности:
Вот несколько советов по обеспечению безопасности различных облачных сервисов:
Amazon Web Services
Безопасность сегмента AWS CloudGuard S3
Конкретное правило: «Убедитесь, что корзины S3 не доступны публично». Идентификатор правила: D9.AWS.NET.06
Особое правило: «Убедитесь, что корзины S3 недоступны для широкой публики». Идентификатор правила: D9.AWS.NET.06
Виртуальная платформа Google
Убедитесь, что база данных Cloud Storage не является анонимной или общедоступной. Идентификатор правила: D9.GCP.IAM.09
Убедитесь, что база данных облачного хранилища не является анонимной или общедоступной. Идентификатор правила: D9.GCP.IAM.09
Microsoft Azure
Убедитесь, что правило доступа к сети по умолчанию для учетных записей хранения настроено на запрет идентификатора правила: Д9.АЗУ.НЕТ.24
Убедитесь, что правило доступа к сети по умолчанию для учетных записей хранения настроено на запрещение идентификатора правила. Д9.АЗУ.НЕТ.24
Пресс-релиз
Не забывай следить за ним Xiaomi-miui.gr в Новости Google быть в курсе всех наших новых статей! Если вы используете RSS-ридер, вы также можете добавить нашу страницу в свой список, просто перейдя по этой ссылке >> https://news.xiaomi-miui.gr/feed/gn