Η Recerca de punts de control (CPR) ha descobert dades sensibles a aplicacions mòbils sense protecció i disponible per a qualsevol persona amb a Navegador.
Ψassenyalant "VirusTotal", el RCP ell va trobar 2.113 aplicacions mòbils, les bases de dades de la qual en (cloud estaven desprotegits i exposats, tot durant un estudi de recerca de tres mesos. Les aplicacions mòbils van anar des de Més de 10.000 descàrregues fins a més de 10.000.000 descàrregues.
Η Recerca de punts de control (CPR) va trobar que les dades sensibles d'una sèrie d'aplicacions mòbils estaven exposades i disponibles per a qualsevol persona amb un navegador. El VirusTotal, una filial de Google, és una eina en línia gratuïta que analitza fitxers i URL per detectar virus, troians i altres formes de programari maliciós.
Les dades sensibles trobades exposades per RCP inclòs: fotos personals de la família, identificadors de cupons en una aplicació sanitària, dades de plataformes d'intercanvi de criptomoneda I molt més. CPR ofereix diversos exemples d'aplicacions les dades de les quals es van trobar exposades.
En un d'ells, la RCP es va trobar exposada més de 50.000 missatges privats des d'una popular aplicació de cites. EL RCP adverteix de la facilitat amb què es pot produir una violació de dades mitjançant el mètode descrit i què poden fer els desenvolupadors de seguretat al núvol per protegir millor les seves aplicacions. Per tal d'evitar l'explotació, CPR no enumerarà actualment els noms de les aplicacions mòbils implicades en la investigació.
Metodologia d'accés
Per accedir a les bases de dades exposades, la metodologia és senzilla:
- Cerqueu aplicacions mòbils que es comuniquin amb serveis al núvol a VirusTotal
- Arxiu aquells que tenen accés directe a les dades
- Navega per l'enllaç que has rebut
Comentari: Lotem Finkelsteen, cap d'Intel·ligència i investigació d'amenaces de Check Point Software:
Un pirata informàtic pot preguntar VirusTotal el camí complet al backend del núvol d'una aplicació mòbil. Nosaltres mateixos compartim alguns exemples del que hi podríem trobar. Tot el que hem trobat està a l'abast de tothom. Finalment, amb aquesta investigació demostrem com de fàcil és que es produeixi una violació o explotació de dades.
La quantitat de dades obertes i disponibles per a qualsevol persona al núvol és una bogeria. És molt més fàcil trencar del que pensem.
Com mantenir-se segur:
Aquí teniu alguns consells per assegurar-vos que els vostres diversos serveis al núvol siguin segurs:
Serveis web d'Amazon
AWS CloudGuard S3 Bucket Security
Regla específica: "Assegureu-vos que els cubs S3 no siguin d'accés públic" Identificador de regla: D9.AWS.NET.06
Regla específica: "Assegureu-vos que els cubs S3 no siguin accessibles al públic en general". Identificador de regla: D9.AWS.NET.06
Google Cloud Platform
Assegureu-vos que Cloud Storage DB no sigui accessible de manera anònima o pública Identificador de la regla: D9.GCP.IAM.09
Assegureu-vos que la base de dades d'emmagatzematge al núvol no sigui anònima ni accessible públicament Identificador de la regla: D9.GCP.IAM.09
Microsoft Azure
Assegureu-vos que la regla d'accés a la xarxa predeterminada per als comptes d'emmagatzematge estigui configurada per denegar l'ID de regla: D9.AZU.NET.24
Assegureu-vos que la regla d'accés a la xarxa predeterminada per als comptes d'emmagatzematge estigui configurada per denegar l'ID de regla D9.AZU.NET.24
Nota de premsa
No us oblideu de seguir-lo Xiaomi-miui.gr en Google News per estar informat immediatament de tots els nostres nous articles! També podeu, si feu servir el lector RSS, afegir la nostra pàgina a la vostra llista, simplement seguint aquest enllaç >> https://news.xiaomi-miui.gr/feed/gn