Η Check Point Research (HLR) upptäckt känsliga uppgifter i mobilapplikationer oskyddad och tillgänglig för alla med en Webbläsare.
Ψpekar på "Virustotal", den HLR Han fann 2.113 XNUMX mobilapplikationer, vars databaser i cloud var oskyddade och exponerade, allt under en tre månader lång forskningsstudie. Mobilapplikationer sträckte sig från 10.000 10.000.000+ nedladdningar upp till XNUMX XNUMX XNUMX+ nedladdningar.
Η Check Point Research (HLR) fann att den känsliga informationen från en rad mobilapplikationer var exponerad och tillgänglig för alla med en webbläsare. De Virustotal, ett dotterbolag till Google, är ett gratis onlineverktyg som analyserar filer och webbadresser för att upptäcka virus, trojaner och andra former av skadlig programvara.
De känsliga uppgifter som hittats exponerade av HLR ingår: personliga familjefoton, kupong-ID:n i en sjukvårdsapp, data från plattformar för utbyte av kryptovaluta Och mycket mer. HLR ger flera exempel på applikationer vars data hittades exponerade.
I en av dem hittades HLR exponerade mer än 50.000 XNUMX privata meddelanden från en populär dejtingapp. DE HLR varnar för hur lätt dataintrång kan ske genom den beskrivna metoden och vad molnsäkerhetsutvecklare kan göra för att bättre skydda sina applikationer. För att undvika utnyttjande kommer CPR för närvarande inte att lista namnen på de mobilapplikationer som är inblandade i utredningen.
Tillgångsmetodik
För att komma åt exponerade databaser är metoden enkel:
- Sök efter mobilapplikationer som kommunicerar med molntjänster på Virustotal
- Arkivera de som har direktåtkomst till data
- Bläddra i länken du fick
Kommentar: Lotem Finkelsteen, Head of Threat Intelligence and Research på Check Point Software:
En hacker kan fråga Virustotal den kompletta vägen till molnets backend av en mobilapplikation. Vi delar själva med oss av några exempel på vad vi kunde hitta där. Allt vi hittat är tillgängligt för alla. Slutligen, med denna forskning bevisar vi hur lätt det är för dataintrång eller exploatering att inträffa.
Mängden data som är öppen och tillgänglig för alla i molnet är galen. Det är mycket lättare att bryta än vi tror.
Så här håller du dig säker:
Här är några tips för att säkerställa att dina olika molntjänster är säkra:
Amazon Web Services
AWS CloudGuard S3 Bucket Security
Specifik regel: "Se till att S3-hinkar inte är offentligt tillgängliga" Regel-ID: D9.AWS.NET.06
Specifik regel: "Se till att S3-hinkar inte är tillgängliga för allmänheten." Regel-ID: D9.AWS.NET.06
Google Cloud Platform
Se till att Cloud Storage DB inte är anonymt eller offentligt tillgängligt Regel-ID: D9.GCP.IAM.09
Se till att molnlagringsdatabasen inte är anonym eller allmänt tillgänglig Regel-ID: D9.GCP.IAM.09
Microsoft Azure
Se till att standardnätverksåtkomstregeln för lagringskonton är inställd på att neka regel-ID: D9.AZU.NET.24
Se till att standardregeln för nätverksåtkomst för lagringskonton är inställd på att neka regel-ID D9.AZU.NET.24
pressmeddelande
Glöm inte att följa den Xiaomi-miui.gr vid Google Nyheter för att omedelbart bli informerad om alla våra nya artiklar! Du kan också, om du använder RSS-läsare, lägga till vår sida i din lista, helt enkelt genom att följa denna länk >> https://news.xiaomi-miui.gr/feed/gn
