Η Hulumtimi i pikës së kontrollit (CPR) zbuloi të dhëna të ndjeshme në aplikacionet celulare të pambrojtura dhe të disponueshme për këdo me a Shfletuesi.
Ψduke treguar "VirusTotal", të CPR ai gjeti 2.113 aplikacione celulare, bazat e të dhënave të të cilit në re ishin të pambrojtur dhe të ekspozuar, të gjitha gjatë një studimi kërkimor tre-mujor. Aplikacionet celulare varionin nga 10.000+ shkarkime deri në 10.000.000+ shkarkime.
Η Hulumtimi i pikës së kontrollit (CPR) zbuloi se të dhënat e ndjeshme të një sërë aplikacionesh celulare ishin të ekspozuara dhe të disponueshme për këdo që kishte një shfletues. Të VirusTotal, një degë e Google, është një mjet falas në internet që analizon skedarët dhe URL-të për të zbuluar viruse, trojanë dhe forma të tjera malware.
Të dhënat e ndjeshme të gjetura të ekspozuara nga CPR përfshirë: fotot personale të familjes, ID-të e kuponit në një aplikacion të kujdesit shëndetësor, të dhëna nga platformat e shkëmbimit të kriptomonedhave Edhe me shume. CPR ofron disa shembuj të aplikacioneve, të dhënat e të cilave u gjetën të ekspozuara.
Në njërën prej tyre, CPR u gjet e ekspozuar më shumë se 50.000 mesazhe private nga një aplikacion i njohur takimesh. THE CPR paralajmëron se sa lehtë mund të ndodhë shkelja e të dhënave përmes metodës së përshkruar dhe çfarë mund të bëjnë zhvilluesit e sigurisë së cloud për të mbrojtur më mirë aplikacionet e tyre. Për të shmangur shfrytëzimin, CPR nuk do të listojë aktualisht emrat e aplikacioneve celularë të përfshirë në hetim.
Metodologjia e Aksesit
Për të hyrë në bazat e të dhënave të ekspozuara, metodologjia është e thjeshtë:
- Kërkoni aplikacione celulare që komunikojnë me shërbimet cloud në VirusTotal
- Arkivoni ato që kanë akses të drejtpërdrejtë në të dhëna
- Shfletoni lidhjen që keni marrë
Koment: Lotem Finkelsteen, Shef i Inteligjencës dhe Kërkimit të Kërcënimeve në Softuerin Check Point:
Një haker mund të pyesë VirusTotal shtegu i plotë për në fundin e cloud të një aplikacioni celular. Ne vetë ndajmë disa shembuj të asaj që mund të gjenim atje. Gjithçka që gjetëm është e disponueshme për këdo. Së fundi, me këtë hulumtim ne vërtetojmë se sa e lehtë është të ndodhë një shkelje ose shfrytëzim i të dhënave.
Sasia e të dhënave që është e hapur dhe e disponueshme për këdo në re është e çmendur. Është shumë më e lehtë të thyesh sesa mendojmë.
Si të qëndroni të sigurt:
Këtu janë disa këshilla për t'u siguruar që shërbimet tuaja të ndryshme cloud janë të sigurta:
Shërbimet e Amazon Amazon
Siguria e kovës AWS CloudGuard S3
Rregulli specifik: "Sigurohuni që kovat S3 të mos jenë të aksesueshme publikisht" ID e rregullit: D9.AWS.NET.06
Rregulli specifik: "Sigurohuni që kovat S3 të mos jenë të aksesueshme për publikun e gjerë." ID e rregullit: D9.AWS.NET.06
Platforma Cloud e Google
Sigurohuni që Cloud Storage DB të mos jetë i aksesueshëm në mënyrë anonime ose publikisht ID e rregullit: D9.GCP.IAM.09
Sigurohuni që baza e të dhënave të ruajtjes së resë kompjuterike të mos jetë anonime ose e aksesueshme nga publiku ID e rregullit: D9.GCP.IAM.09
Microsoft Azure
Sigurohuni që rregulli i parazgjedhur i hyrjes në rrjet për llogaritë e hapësirës ruajtëse të jetë caktuar për të mohuar ID-në e rregullit: D9.AZU.NET.24
Sigurohuni që rregulli i parazgjedhur i hyrjes në rrjet për llogaritë e ruajtjes është vendosur për të mohuar ID-në e rregullit D9.AZU.NET.24
Njoftimi për shtyp
Mos harroni ta ndiqni Xiaomi-miui.gr në Google News për t'u informuar menjëherë për të gjithë artikujt tanë të rinj! Ju gjithashtu mundeni nëse përdorni lexues RSS, të shtoni faqen tonë në listën tuaj, thjesht duke ndjekur këtë lidhje >> https://news.xiaomi-miui.gr/feed/gn
