Η Check Point Research (CPR) nakatuklas ng sensitibong data sa mga mobile application hindi protektado at magagamit ng sinumang may a Browser.
Ψtumuturo sa "VirusTotal", ang CPR natagpuan niya 2.113 mga mobile application, na ang mga database ay nasa ulap ay hindi protektado at nalantad, lahat sa loob ng tatlong buwang pag-aaral sa pananaliksik. Ang mga mobile application ay mula sa 10.000+ download hanggang 10.000.000+ download.
Η Check Point Research (CPR) nalaman na ang sensitibong data ng isang hanay ng mga mobile application ay nalantad at magagamit ng sinumang may browser. Ang VirusTotal, isang kaakibat ng Google, ay isang libreng online na tool na nagsusuri ng mga file at URL para makakita ng mga virus, trojan at iba pang anyo ng malware.
Ang sensitibong data na nakitang inilantad ni CPR kasama: mga personal na larawan ng pamilya, mga coupon ID sa isang healthcare app, data mula sa mga cryptocurrency exchange platform At marami pang iba. Nagbibigay ang CPR ng ilang mga halimbawa ng mga application na ang data ay natagpuang nakalantad.
Sa isa sa mga ito, CPR natagpuan nakalantad higit sa 50.000 pribadong mensahe mula sa isang sikat na dating app. ANG CPR nagbabala kung gaano kadaling mangyari ang paglabag sa data sa pamamagitan ng pamamaraang inilarawan at kung ano ang maaaring gawin ng mga developer ng seguridad ng ulap upang mas maprotektahan ang kanilang mga application. Upang maiwasan ang pagsasamantala, kasalukuyang hindi ililista ng CPR ang mga pangalan ng mga mobile application na kasangkot sa pagsisiyasat.
Pamamaraan ng Pag-access
Upang ma-access ang mga nakalantad na database, ang pamamaraan ay simple:
- Maghanap ng mga mobile application na nakikipag-ugnayan sa mga serbisyo ng cloud sa VirusTotal
- I-archive ang mga may direktang access sa data
- I-browse ang link na iyong natanggap
Komento: Lotem Finkelsteen, Pinuno ng Threat Intelligence at Research sa Check Point Software:
Maaaring magtanong ang isang hacker VirusTotal ang kumpletong landas patungo sa cloud backend ng isang mobile application. Kami mismo ay nagbabahagi ng ilang mga halimbawa ng kung ano ang makikita namin doon. Lahat ng nahanap namin ay magagamit ng sinuman. Sa wakas, sa pananaliksik na ito, napatunayan namin kung gaano kadaling mangyari ang isang paglabag sa data o pagsasamantala.
Nakakabaliw ang dami ng data na bukas at available sa sinuman sa cloud. Ito ay mas madaling masira kaysa sa iniisip natin.
Paano manatiling ligtas:
Narito ang ilang tip para matiyak na secure ang iyong iba't ibang serbisyo sa cloud:
Amazon Web Services
AWS CloudGuard S3 Bucket Security
Tukoy na panuntunan: "Tiyaking hindi naa-access ng publiko ang mga S3 bucket" ID ng Panuntunan: D9.AWS.NET.06
Tukoy na panuntunan: "Tiyaking hindi naa-access ng pangkalahatang publiko ang mga S3 bucket." ID ng Panuntunan: D9.AWS.NET.06
Google Cloud Platform
Tiyakin na ang Cloud Storage DB ay hindi naa-anonymous o naa-access ng publiko ID ng Panuntunan: D9.GCP.IAM.09
Tiyaking hindi anonymous o naa-access ng publiko ang database ng cloud storage ID ng Panuntunan: D9.GCP.IAM.09
Microsoft Azure
Tiyaking nakatakda ang default na panuntunan sa pag-access sa network para sa Mga Storage Account upang tanggihan ang ID ng Panuntunan: D9.AZU.NET.24
Tiyaking nakatakda ang default na panuntunan sa pag-access sa network para sa mga storage account upang tanggihan ang Rule ID D9.AZU.NET.24
Press release
Huwag kalimutang sundan ito Xiaomi-miui.gr sa Google News upang maipaalam kaagad tungkol sa lahat ng aming mga bagong artikulo! Maaari mo ring kung gumagamit ka ng RSS reader, idagdag ang aming pahina sa iyong listahan sa pamamagitan lamang ng pagsunod sa link na ito >> https://news.xiaomi-miui.gr/feed/gn
