نمایش دادههای کاربر توسط هزاران برنامه موبایل
برنامههای موبایل با دهها میلیون بار دانلود، به دلیل پیکربندی نادرست پایگاههای داده ابری پشتیبان، دادههای حساس کاربر را فاش میکنند.
به گزارش سیتنا، مطالعه سهماهه فروشنده امنیتی با یک پرسوجوی ساده در VirusTotal برای برنامههای تلفن همراه فهرست شده در سرویس اسکن بدافزار که با پایگاه داده ابری Firebase ارتباط برقرار میکند، آغاز شد.
در طول این مطالعه، چک پوینت 2113 برنامه تلفن همراه را به این روش کشف کرد که به دلیل پیکربندی نادرست، پشتیبان Firebase آنها در معرض دید قرار گرفته بود.
هنگام نوشتن کد، توسعهدهندگان منابع زیادی را برای سختتر کردن یک برنامه در برابر انواع مختلف حملات سرمایهگذاری میکنند. بااینحال، توسعهدهندگان ممکن است از پیکربندی صحیح پایگاه داده ابری غفلت کنند و درنتیجه پایگاه دادههای بلادرنگ را در معرض دید قرار دهند که در صورت سوءاستفاده میتواند منجر به نقض فاجعهبار شود.
توسعهدهندگان اغلب بهصورت دستی تنظیمات قفلشده و ایمن پیشفرض قوانین امنیتی را برای اجرای آزمایشها تغییر میدهند. اگر قبل از انتشار برنامه برای تولید، قفل و بدون محافظت باقی بماند، پایگاه داده را برای هرکسی که به آن دسترسی دارد باز میگذارد. بنابراین مستعد خواندن و نوشتن در پایگاه داده میشود.
چک پوینت چندین مجرم را که بهاینترتیب کشف کرده بود برجسته کرد. یکی از آنها یک برنامه تجارت الکترونیک در آمریکای جنوبی با بیش از 10 میلیون بارگیری بود که اعتبار دروازه API و کلیدهای API را فاش کرد. یکی دیگر از برنامههای طراحی لوگو، با بیش از 10 میلیون بارگیری بود که 130000 نام کاربری، ایمیل و رمز عبور را در معرض دید قرارداد.
همچنین یک پلتفرم صوتی اجتماعی با بیش از پنج میلیون بارگیری که جزئیات بانک، موقعیت مکانی، شماره تلفن و پیامهای چت را فاش میکند و یک برنامه حسابداری محبوب که 280000 شماره تلفن مرتبط با حداقل 80000 نام شرکت، آدرس، موجودی بانک، موجودی نقدی، فاکتور را فاش میکند، فهرست شده است. Check Point حتی یک برنامه دوستیابی را پیدا کرد که 50000 پیام خصوصی ارسالشده توسط کاربران را فاش کرده است.
تنوع حملات احتمالی به نوع دادههای افشاشده بستگی دارد. چک پوینت نتیجه گرفت که این گودال بیانتها از احتمالات مختلف از کلاهبرداری، سرقت هویت گرفته تا باج افزار یا حتی حملات زنجیره تأمین است.
پیکربندیهای نادرست ابر پیامدهای عدم آگاهی، سیاستهای مناسب و آموزشهای امنیتی است که با کار جدید مدل هیبریدی خانگی بیشتر شده و موردنیاز است.
شیوههای امنیتی بد میتوانند آسیبهای گستردهای ایجاد کنند و بااینحال تنها یک کلیک ساده تا اصلاح فاصلهدارند. این یافتهها بامطالعه دیگری که در این هفته انجام شد نشان داد که 14 درصد از برنامههای اندروید و iOS که از پشتیبانهای ابری عمومی استفاده میکنند، پیکربندی نادرستی دارند که اطلاعات شخصی کاربران را افشا میکند.
انتهای پیام
افزودن دیدگاه جدید