Η Check Point Onderzoek (reanimatie) gevoelige gegevens ontdekt in mobiele applicaties onbeschermd en beschikbaar voor iedereen met een περιήγησης.
Ψwijzen naar "VirusTotal", de CPR hij vond 2.113 mobiele applicaties, waarvan de databases in wolk waren onbeschermd en blootgesteld, allemaal tijdens een drie maanden durende onderzoeksstudie. Mobiele applicaties varieerden van 10.000+ downloads tot 10.000.000+ downloads.
Η Check Point Onderzoek (reanimatie) ontdekte dat de gevoelige gegevens van een reeks mobiele applicaties werden blootgesteld en beschikbaar waren voor iedereen met een browser. De VirusTotal, een gelieerde onderneming van Google, is een gratis online tool die bestanden en URL's analyseert om virussen, trojans en andere vormen van malware te detecteren.
De gevoelige gegevens die zijn gevonden door: CPR inbegrepen: persoonlijke familiefoto's, coupon-ID's in een zorgapp, gegevens van cryptocurrency-uitwisselingsplatforms En veel meer. CPR geeft verschillende voorbeelden van toepassingen waarvan de gegevens zichtbaar zijn bevonden.
In een van hen werd bij reanimatie meer dan 50.000 privéberichten van een populaire dating-app. DE CPR waarschuwt voor hoe gemakkelijk datalekken kunnen optreden via de beschreven methode en wat ontwikkelaars van cloudbeveiliging kunnen doen om hun applicaties beter te beschermen. Om uitbuiting te voorkomen, vermeldt CPR momenteel niet de namen van de mobiele applicaties die bij het onderzoek betrokken zijn.
Toegangsmethodologie
Voor toegang tot blootgestelde databases is de methode eenvoudig:
- Zoek naar mobiele applicaties die communiceren met cloudservices op VirusTotal
- Archiveer degenen die directe toegang hebben tot gegevens
- Blader door de link die je hebt ontvangen
Commentaar: Lotem Finkelsteen, Head of Threat Intelligence and Research bij Check Point Software:
Een hacker kan vragen VirusTotal het volledige pad naar de cloud-backend van een mobiele applicatie. We delen zelf enkele voorbeelden van wat we daar zouden kunnen vinden. Alles wat we hebben gevonden is voor iedereen beschikbaar. Tot slot bewijzen we met dit onderzoek hoe gemakkelijk een datalek of uitbuiting kan plaatsvinden.
De hoeveelheid data die open en beschikbaar is voor iedereen in de cloud is krankzinnig. Het is veel gemakkelijker te doorbreken dan we denken.
Hoe veilig te blijven:
Hier zijn enkele tips om ervoor te zorgen dat uw verschillende cloudservices veilig zijn:
Amazon Web Services
AWS CloudGuard S3-emmerbeveiliging
Specifieke regel: "Zorg ervoor dat S3-buckets niet publiekelijk toegankelijk zijn" Regel-ID: D9.AWS.NET.06
Specifieke regel: "Zorg ervoor dat S3-buckets niet toegankelijk zijn voor het grote publiek." Regel-ID: D9.AWS.NET.06
Google Cloud Platform
Zorg ervoor dat Cloud Storage DB niet anoniem of openbaar toegankelijk is Regel-ID: D9.GCP.IAM.09
Zorg ervoor dat de cloudopslagdatabase niet anoniem of openbaar toegankelijk is Regel-ID: D9.GCP.IAM.09
Microsoft Azure
Zorg ervoor dat de standaard netwerktoegangsregel voor opslagaccounts is ingesteld om regel-ID te weigeren: D9.AZU.NET.24
Zorg ervoor dat de standaard netwerktoegangsregel voor opslagaccounts is ingesteld om Regel-ID te weigeren D9.AZU.NET.24
Τύπου
Vergeet het niet te volgen Xiaomi-miui.gr bij Google Nieuws om direct op de hoogte te zijn van al onze nieuwe artikelen! U kunt ook, als u een RSS-lezer gebruikt, onze pagina aan uw lijst toevoegen door simpelweg deze link te volgen >> https://news.xiaomi-miui.gr/feed/gn
