Η Penelitian Titik Pemeriksaan (CPR) menemukan data sensitif di aplikasi seluler tidak terlindungi dan tersedia bagi siapa saja yang memiliki a πρόγραμμα περιήγησης..
Ψmenunjuk ke "VirusTotal", NS CPR dia menemukan 2.113 aplikasi seluler, yang databasenya di awan tidak terlindungi dan terpapar, semuanya selama studi penelitian tiga bulan. Aplikasi seluler berkisar dari 10.000+ unduhan hingga 10.000.000+ unduhan.
Η Penelitian Titik Pemeriksaan (CPR) menemukan bahwa data sensitif dari berbagai aplikasi seluler terbuka dan tersedia bagi siapa saja yang memiliki browser. Itu VirusTotal, afiliasi Google, adalah alat online gratis yang menganalisis file dan URL untuk mendeteksi virus, trojan, dan bentuk malware lainnya.
Data sensitif yang ditemukan diekspos oleh CPR termasuk: foto keluarga pribadi, ID kupon di aplikasi perawatan kesehatan, data dari platform pertukaran mata uang kripto Dan banyak lagi. CPR memberikan beberapa contoh aplikasi yang datanya ditemukan terbuka.
Di salah satunya, CPR ditemukan terpapar lebih dari 50.000 pesan pribadi dari aplikasi kencan populer. ITU CPR memperingatkan betapa mudahnya pelanggaran data dapat terjadi melalui metode yang dijelaskan dan apa yang dapat dilakukan pengembang keamanan cloud untuk melindungi aplikasi mereka dengan lebih baik. Untuk menghindari eksploitasi, CPR saat ini tidak akan mencantumkan nama aplikasi seluler yang terlibat dalam penyelidikan.
Metodologi Akses
Untuk mengakses database yang terbuka, metodologinya sederhana:
- Cari aplikasi seluler yang berkomunikasi dengan layanan cloud di VirusTotal
- Arsipkan yang memiliki akses langsung ke data
- Jelajahi tautan yang Anda terima
Komentar: Lotem Finkelsteen, Kepala Intelijen Ancaman dan Penelitian di Perangkat Lunak Check Point:
Seorang hacker mungkin bertanya VirusTotal jalur lengkap ke backend cloud aplikasi seluler. Kami sendiri membagikan beberapa contoh tentang apa yang dapat kami temukan di sana. Semua yang kami temukan tersedia untuk siapa saja. Terakhir, dengan penelitian ini kami membuktikan betapa mudahnya terjadi pelanggaran atau eksploitasi data.
Jumlah data yang terbuka dan tersedia untuk siapa saja di cloud itu gila. Jauh lebih mudah rusak daripada yang kita pikirkan.
Cara agar tetap aman:
Berikut adalah beberapa tip untuk memastikan berbagai layanan cloud Anda aman:
Amazon Web Services
Keamanan Bucket AWS CloudGuard S3
Aturan khusus: "Pastikan ember S3 tidak dapat diakses publik" ID Aturan: D9.AWS.NET.06
Aturan khusus: "Pastikan ember S3 tidak dapat diakses oleh masyarakat umum." ID Aturan: D9.AWS.NET.06
Google Cloud Platform
Pastikan bahwa Cloud Storage DB tidak dapat diakses secara anonim atau publik ID Aturan: D9.GCP.IAM.09
Pastikan database penyimpanan cloud tidak anonim atau dapat diakses publik ID Aturan: D9.GCP.IAM.09
Microsoft Azure
Pastikan aturan akses jaringan default untuk Akun Penyimpanan diatur untuk menolak ID Aturan: D9.AZU.NET.24
Pastikan aturan akses jaringan default untuk akun penyimpanan diatur untuk menolak ID Aturan D9.AZU.NET.24
jumpa pers
Jangan lupa di follow Xiaomi-miui.gr di berita Google untuk segera diberitahu tentang semua artikel baru kami! Anda juga dapat jika Anda menggunakan RSS reader, tambahkan halaman kami ke daftar Anda, cukup dengan mengikuti link ini >> https://news.xiaomi-miui.gr/feed/gn