Η Check Point Research (CPR) opdagede følsomme data i mobile applikationer ubeskyttet og tilgængelig for alle med en Browser.
Ψpeger på "VirusTotal", det CPR han fandt 2.113 mobilapplikationer, hvis databaser i cloud var ubeskyttede og eksponerede, alt sammen i løbet af et tre måneders forskningsstudie. Mobilapplikationer spændte fra 10.000+ downloads op til 10.000.000+ downloads.
Η Check Point Research (CPR) fandt ud af, at de følsomme data fra en række mobilapplikationer var afsløret og tilgængelige for alle med en browser. Det VirusTotal, en affiliate af Google, er et gratis onlineværktøj, der analyserer filer og URL'er for at opdage vira, trojanske heste og andre former for malware.
De følsomme data fundet afsløret af CPR inkluderet: personlige familiebilleder, kupon-id'er i en sundhedsapp, data fra cryptocurrency-udvekslingsplatforme Og meget mere. CPR giver flere eksempler på applikationer, hvis data blev fundet blotlagt.
I en af dem fandt CPR udsat mere end 50.000 private beskeder fra en populær dating-app. DET CPR advarer om, hvor let databrud kan opstå gennem den beskrevne metode, og hvad cloud-sikkerhedsudviklere kan gøre for bedre at beskytte deres applikationer. For at undgå udnyttelse vil CPR ikke på nuværende tidspunkt angive navnene på de mobilapplikationer, der er involveret i undersøgelsen.
Adgangsmetode
For at få adgang til eksponerede databaser er metoden enkel:
- Søg efter mobilapplikationer, der kommunikerer med skytjenester på VirusTotal
- Arkivér dem, der har direkte adgang til data
- Gennemse det link, du har modtaget
Kommentar: Lotem Finkelsteen, Head of Threat Intelligence and Research hos Check Point Software:
En hacker kan spørge VirusTotal den komplette vej til cloud-backend af en mobilapplikation. Vi deler selv nogle eksempler på, hvad vi kunne finde der. Alt, hvad vi fandt, er tilgængeligt for enhver. Endelig beviser vi med denne forskning, hvor let det er for et databrud eller udnyttelse at opstå.
Mængden af data, der er åben og tilgængelig for alle i skyen, er sindssyg. Det er meget nemmere at bryde, end vi tror.
Sådan forbliver du sikker:
Her er nogle tips til at sikre, at dine forskellige cloud-tjenester er sikre:
Amazon Web Services
AWS CloudGuard S3 Bucket Security
Specifik regel: "Sørg for, at S3-spande ikke er offentligt tilgængelige" Regel-id: D9.AWS.NET.06
Specifik regel: "Sørg for, at S3-spande ikke er tilgængelige for offentligheden." Regel-id: D9.AWS.NET.06
Google Cloud Platform
Sørg for, at Cloud Storage DB ikke er anonymt eller offentligt tilgængeligt Regel-id: D9.GCP.IAM.09
Sørg for, at cloud-lagerdatabasen ikke er anonym eller offentligt tilgængelig Regel-id: D9.GCP.IAM.09
Microsoft Azure
Sørg for, at standardnetværksadgangsregel for lagerkonti er indstillet til at nægte regel-id: D9.AZU.NET.24
Sørg for, at standardnetværksadgangsreglen for lagerkonti er indstillet til at nægte regel-id D9.AZU.NET.24
Pressemeddelelse
Glem ikke at følge den Xiaomi-miui.gr på Google Nyheder at blive informeret med det samme om alle vores nye artikler! Du kan også, hvis du bruger RSS-læser, tilføje vores side til din liste, blot ved at følge dette link >> https://news.xiaomi-miui.gr/feed/gn