| 4 марта 2021 г. — 1:34 PM PT
Несмотря на усилия Apple по обеспечению безопасности iOS, трудно контролировать, как сторонние приложения хранят пользовательские данные. Новое исследование компании Zimperium, специализирующейся на мобильной безопасности, показало, что тысячи приложений для iOS и Android раскрывают личную информацию пользователей из-за неправильно сконфигурированных облачных сервисов.
Как сообщает Wired, Zimperium проанализировала более 1,3 миллиона приложений для iOS и Android, чтобы выявить неправильные конфигурации облачных сервисов, которые приводят к раскрытию пользовательских данных. Из всех проанализированных приложений 47 000 приложений для iOS и 84 000 приложений для Android использовали общедоступные облачные сервисы, такие как Amazon Web Services, Google Cloud или Microsoft Azure, в своей базе данных вместо собственных серверов.
Исследование показало, что по крайней мере 14% этих приложений, использующих общедоступные облачные сервисы, раскрывают личную информацию пользователей, включая пароли и данные о состоянии здоровья, из-за неправильных конфигураций, которые позволяют хакерам получать доступ к этим данным и даже перезаписывать их.
Генеральный директор Zimperium Шридхар Миттал объясняет, что многие из этих разработчиков неправильно настроили используемые облачные сервисы, чтобы избежать подобных утечек.
Хакерские группы уже проводят такие сканирования для поиска неправильных конфигураций облачных сервисов. Миттал говорит, что, помимо конфиденциальных пользовательских данных, исследователи также обнаружили учетные данные сети, файлы конфигурации системы и ключи серверной архитектуры в некоторых из раскрытых хранилищ приложений, которые злоумышленники потенциально могут использовать для получения более глубокого доступа к цифровым системам организации.
Хотя поставщики облачных услуг, такие как Amazon Web Services, имеют инструменты для обнаружения возможных неправильных конфигураций, основная ответственность за предотвращение подобных ситуаций лежит на разработчиках. К сожалению, большинство пользователей понятия не имеют, что их данные могут быть выставлены в Интернете приложениями, которым они доверяют.
Zimperium связалась с разработчиками некоторых из проанализированных приложений, но большинство из них не ответили на запрос об устранении уязвимости в их приложениях. Исследователи говорят, что неправильные конфигурации облачных сервисов затронули не только приложения от мелких разработчиков, но и приложения от крупных компаний.
Одно из рассматриваемых приложений — это мобильный кошелек от компании из списка Fortune 500, который раскрывает информацию о пользовательских сессиях и финансовые данные. Другое — приложение для транспорта из крупного города, которое раскрывает платежные данные. Исследователи также обнаружили медицинские приложения с результатами анализов и даже изображениями профилей пользователей, находящимися в открытом доступе.
Исследователи надеются, что сегодняшний отчет поможет большему числу разработчиков узнать, как правильно настраивать облачные сервисы в приложениях. Полную историю можно прочитать на сайте Wired.