Η Ricerca del punto di controllo (RCP) scoperto dati sensibili in applicazioni mobili non protetto e disponibile a chiunque abbia a Browser.
Ψpuntando a "VirusTotal", il CPR egli trovò 2.113 applicazioni mobili, i cui database sono in nuvola erano non protetti ed esposti, il tutto durante uno studio di ricerca di tre mesi. Le applicazioni mobili variavano da Oltre 10.000 download fino a oltre 10.000.000 di download.
Η Ricerca del punto di controllo (RCP) ha scoperto che i dati sensibili di una serie di applicazioni mobili erano esposti e disponibili a chiunque disponga di un browser. Il VirusTotal, un affiliato di Google, è uno strumento online gratuito che analizza file e URL per rilevare virus, trojan e altre forme di malware.
I dati sensibili trovati esposti da CPR incluso: foto personali di famiglia, ID coupon in un'app sanitaria, dati da piattaforme di scambio di criptovaluta E altro ancora. CPR fornisce diversi esempi di applicazioni i cui dati sono stati trovati esposti.
In uno di essi, la RCP è risultata esposta più di 50.000 messaggi privati da una popolare app di appuntamenti. IL CPR avverte della facilità con cui possono verificarsi violazioni dei dati attraverso il metodo descritto e di cosa possono fare gli sviluppatori di sicurezza cloud per proteggere meglio le loro applicazioni. Per evitare lo sfruttamento, CPR non elencherà attualmente i nomi delle applicazioni mobili coinvolte nell'indagine.
Metodologia di accesso
Per accedere ai database esposti, la metodologia è semplice:
- Cerca le applicazioni mobili che comunicano con i servizi cloud all'indirizzo VirusTotal
- Archivia quelli che hanno accesso diretto ai dati
- Sfoglia il link che hai ricevuto
Commento: Lotem Finkelsteen, Head of Threat Intelligence and Research presso Check Point Software:
Un hacker potrebbe chiedere VirusTotal il percorso completo verso il backend cloud di un'applicazione mobile. Noi stessi condividiamo alcuni esempi di ciò che potremmo trovare lì. Tutto ciò che abbiamo trovato è disponibile per chiunque. Infine, con questa ricerca dimostriamo quanto sia facile che si verifichi una violazione o uno sfruttamento dei dati.
La quantità di dati aperti e disponibili a chiunque nel cloud è pazzesca. È molto più facile rompere di quanto pensiamo.
Come stare al sicuro:
Ecco alcuni suggerimenti per garantire la sicurezza dei vari servizi cloud:
Amazon Web Services
Sicurezza del bucket AWS CloudGuard S3
Regola specifica: "Assicurati che i bucket S3 non siano pubblicamente accessibili" ID regola: D9.AWS.NET.06
Regola specifica: "Assicurati che i bucket S3 non siano accessibili al pubblico". ID regola: D9.AWS.NET.06
Google Cloud Platform
Assicurati che Cloud Storage DB non sia accessibile in modo anonimo o pubblico ID regola: D9.GCP.IAM.09
Assicurati che il database di archiviazione cloud non sia anonimo o accessibile pubblicamente ID regola: D9.GCP.IAM.09
Microsoft Azure
Assicurati che la regola di accesso alla rete predefinita per gli account di archiviazione sia impostata per negare l'ID regola: D9.AZU.NET.24
Assicurati che la regola di accesso alla rete predefinita per gli account di archiviazione sia impostata per negare l'ID regola D9.AZU.NET.24
Comunicato stampa
Non dimenticare di seguirlo Xiaomi-miui.gr a Google News per essere subito informato su tutti i nostri nuovi articoli! Puoi anche se usi un lettore RSS, aggiungere la nostra pagina alla tua lista semplicemente seguendo questo link >> https://news.xiaomi-miui.gr/feed/gn