Ak niekedy nastala presvedčivá sezóna nedôverovať vývojárom aplikácií tretích strán s vašimi údajmi, je to toto. Mobilná bezpečnostná spoločnosť zistila úniky údajov z tisícov aplikácií tretích strán pre Android a iOS prostredníctvom cloudového úložiska.
Zistené úniky údajov
Bolo by skvelé povedať, že je to ohromujúca správa, ale nie je. Nie je vôbec prekvapujúce, že došlo k úniku používateľských údajov, zatiaľ čo nič netušiaci mobilní používatelia si naďalej nastavovali množstvo účtov.
Všetko súvisí s nesprávnym zaobchádzaním s údajmi. Zdá sa, že to nie je nič hrozné - bola to len nedbalosť. Namiesto ukladania údajov na vlastné servery vývojári mobilných aplikácií tretích strán bezstarostne ukladali údaje používateľov do cloudu a viac-menej nechali dvere otvorené.
Pojem mobilnej bezpečnosti Zimperium spustil automatizovanú analýzu 1,3 milióna aplikácií pre Android a iOS a kontroloval, či nedošlo k nesprávnej konfigurácii ukladania údajov. 84 000 aplikácií pre Android a takmer 47 000 aplikácií pre iOS
"Je to znepokojujúci trend," hovorí Shridhar Mittal, generálny riaditeľ spoločnosti Zimperium. "Mnoho z týchto aplikácií má cloudové úložisko, ktoré nebolo správne nakonfigurované vývojárom alebo kýmkoľvek, kto nastavoval veci, a preto sú údaje viditeľné takmer pre kohokoľvek." A väčšina z nás má niektoré z týchto aplikácií práve teraz. “
Horšie je, že vedci oslovili niektorých vývojárov a mali veľmi malú odozvu - a mnoho aplikácií má stále odhalené údaje.
Úniky údajov môžu potenciálne zahŕňať veľa osobných informácií o používateľoch. Niektoré z aplikácií mali niekoľko tisíc používateľov, zatiaľ čo iné mali niekoľko miliónov. Medzi odhalenými údajmi sú aj finančné údaje z mobilnej peňaženky patriacej spoločnosti Fortune 500. Rovnako tak údaje o doprave veľkého mesta a údaje o testovaní z lekárskych aplikácií,
Zimperium sa nepokúšalo zistiť, či útočníci našli odhalené údaje, ale zlí herci by určite mohli použiť rovnaké verejné metódy, aké vedci použili na prístup k informáciám. A nemohli by len zobrazovať exponované údaje. Niektoré z nesprávnych konfigurácií by útočníkom umožnili zmeniť alebo prepísať údaje.
Kto je zodpovedný za tento neporiadok?
Poskytovatelia cloudu sa pokúšajú sledovať nesprávne konfigurácie, ale je skutočne na vývojároch, aby toto úložisko skontrolovali a ubezpečili sa, že funguje podľa plánu.
Je úplne logické, že nesprávna konfigurácia môže byť rozšíreným problémom, “povedal výskumný pracovník v oblasti bezpečnosti Will Stafrach. "Videl som vedrá AWS so zlými povoleniami a tiež som videl niekoľko uzlov VPN, ktoré vystavovali údaje." Videl som veľa aplikácií od spoločností, ktoré by mali lepšie vedieť, ktoré majú hrozné problémy s bezpečnosťou. “
Zimperium funguje aj v rámci iniciatívy Google App Defense Alliance Initiative na kontrolu aplikácií v obchode Play. Rozdiel oproti tejto práci je v tom, že hľadajú škodlivú aktivitu namiesto náhodných únikov údajov z cloudovej expozície.
Mittal po tom všetkom len dúfa, že zvýši povedomie o tejto situácii.
Ak máte obavy unikli vaše e -maily a heslá, čítajte ďalej a zistite, ako ho monitorovať.
Sprístupnenie informácií o partnerovi: Make Tech Easier môže zarábať provízie za produkty zakúpené prostredníctvom našich odkazov, čo podporuje prácu, ktorú robíme pre našich čitateľov.