За последние 10 лет популярность облачных сервисов для хранения данных резко выросла. Вы наверняка тоже используете тот же iCloud, Google Диск или Яндекс.Диск, чтобы не занимать место на компьютере или айфоне. Тем более удобно, что многие приложения позволяют хранить данные в облаке. Но, как выяснилось, такие приложения зачастую наплевательски относятся к безопасности данных своих пользователей. Компания Zimperium, которая занимается мобильной безопасностью, обнаружила, что десятки тысяч приложений iOS и Android используют неправильные конфигурации работы облачных сервисов, из-за чего данные пользователей может загрузить почти любой.
Специалисты по информационной безопасности провели автоматический анализ более 1,3 миллиона приложений для Android и iOS, чтобы выявить распространенные неправильные конфигурации облака, которые открывают доступ к данным пользователей. Исследователи обнаружили около 84 000 приложений для Android и почти 47 000 приложений для iOS, которые используют общедоступные облачные сервисы, такие как Amazon Web Services, Google Cloud или Microsoft Azure, а не собственные серверы. Из них исследователи выявили неправильные конфигурации в 14% от общего числа программ — это 11 877 приложений для Android и 6 608 приложений для iOS. Данные приложения раскрывают личную информацию пользователей, пароли и даже медицинские сведения, пишет Wired.
Как отмечают эксперты, многие из этих приложений имеют облачное хранилище, которое не было должным образом настроено разработчиком или кем-либо еще, и из-за этого данные пользователей видны практически любому.
У большинства из нас установлены некоторые из этих приложений прямо сейчас, — заявили в Zimperium.
Если бы разработчики правильно настроили облачные сервисы, проблем не было бы
Исследователи обратились к нескольким разработчикам приложений, в которых они обнаружили уязвимости облака, но, по их словам, им ответили очень немногие, и большинство приложений продолжают использовать открытые данные. К сожалению, Zimperium не называет затронутые приложения в своем отчете. Кроме того, исследователи не могут уведомить сразу десятки тысяч разработчиков.
Сервисы, которые они рассматривали, охватывают широкий диапазон: от приложений с несколькими тысячами пользователей до приложений с несколькими миллионами.
Одно из таких приложений — это мобильный кошелек от компании из списка Fortune 500, который предоставляет некоторую информацию о пользовательских сеансах и финансовые данные. Другой пример — транспортное приложение, где в открытом виде хранятся данные о платежах. Исследователи также обнаружили открытые медицинские приложения с результатами тестов и даже изображения профилей пользователей.
Компания пока не смогла оценить, обнаружили ли злоумышленники какие-либо уязвимости из найденных экспертами. Но отмечается, что их будет легко найти, используя ту же общедоступную информацию, которую Zimperium использовала в своих исследованиях. Хакерские группы уже осуществляют этот тип сканирования, чтобы найти неправильные конфигурации облака в веб-сервисах. Вдобавок ко всему, исследователи обнаружили, что некоторые неправильные конфигурации позволяют злоумышленникам изменять или перезаписывать данные.
Также по теме: iOS 14 взломали и показали это на видео
Основные поставщики облачных услуг, такие как Amazon, уже предприняли усилия по обнаружению возможных неправильных конфигураций и предупреждению клиентов о них, но всё равно многое зависит от разработчиков, поскольку устранить эти уязвимости должны именно они.
Совершенно очевидно, что неправильная конфигурация облачных сервисов может быть широко распространенной проблемой, — говорит Уилл Страфах, исследователь безопасности iOS и создатель приложения Guardian Firewall.
Похоже, многие сервисы, в том числе крупные, имеют серьезные проблемы с безопасностью облачных данных. Жаль, мы пока не знаем конкретные названия таких приложений, но я думаю, эта информация скоро всплывёт.
Из-за наплевательского отношения разработчиков могут пострадать простые пользователи
Читайте также
Последние новости