Η بررسی نقطه چک (CPR) داده های حساس را در برنامه های موبایل محافظت نشده و در دسترس هر کسی که دارای یک مرورگر.
Ψاشاره به "VirusTotal"، CPR او پیدا کرد ۲۱۱۳ اپلیکیشن موبایل، که پایگاه داده های آن در ابر در طول یک مطالعه تحقیقاتی سه ماهه محافظت نشده و در معرض قرار گرفتند. برنامه های موبایل از بیش از 10.000 دانلود تا بیش از 10.000.000 دانلود.
Η بررسی نقطه چک (CPR) دریافتند که دادههای حساس طیف وسیعی از برنامههای تلفن همراه در معرض دید هر کسی که مرورگر دارد در دسترس است. در VirusTotalیکی از زیرمجموعه های گوگل، یک ابزار آنلاین رایگان است که فایل ها و URL ها را برای شناسایی ویروس ها، تروجان ها و سایر اشکال بدافزار تجزیه و تحلیل می کند.
داده های حساس پیدا شده توسط CPR مشمول: عکسهای خانوادگی شخصی، شناسههای کوپن در اپلیکیشن مراقبتهای بهداشتی، دادههای پلتفرمهای مبادله ارزهای دیجیتال و خیلی بیشتر. CPR نمونههای متعددی از برنامههایی را ارائه میکند که دادههای آنها در معرض دید قرار گرفته است.
در یکی از آنها، CPR در معرض بیش از 50.000 پیام خصوصی از یک برنامه دوستیابی محبوب THE CPR هشدار می دهد که چگونه به راحتی نقض داده ها از طریق روش توصیف شده رخ می دهد و توسعه دهندگان امنیت ابری چه کاری می توانند برای محافظت بهتر از برنامه های خود انجام دهند. به منظور جلوگیری از سوء استفاده، CPR در حال حاضر نام برنامه های کاربردی تلفن همراه درگیر در تحقیق را فهرست نمی کند.
روش دسترسی
برای دسترسی به پایگاه های اطلاعاتی در معرض، روش ساده است:
- جستجوی برنامه های کاربردی تلفن همراه که با سرویس های ابری ارتباط برقرار می کنند VirusTotal
- آنهایی را که دسترسی مستقیم به داده ها دارند بایگانی کنید
- لینکی که دریافت کرده اید را مرور کنید
نظر: لوتم فینکلستین، رئیس بخش اطلاعات و تحقیقات تهدید در نرم افزار Check Point:
ممکن است یک هکر بپرسد VirusTotal مسیر کامل به باطن ابری یک برنامه تلفن همراه. ما خودمان نمونه هایی از آنچه را که در آنجا پیدا کردیم به اشتراک می گذاریم. هر چیزی که پیدا کردیم برای هر کسی در دسترس است. در نهایت، با این تحقیق ما ثابت میکنیم که چقدر آسان است برای رخنه یا بهرهبرداری از دادهها رخ دهد.
مقدار داده ای که در فضای ابری برای هر کسی باز و در دسترس است دیوانه کننده است. شکستن آن بسیار ساده تر از آن چیزی است که فکر می کنیم.
چگونه ایمن بمانیم:
در اینجا چند نکته برای اطمینان از ایمن بودن سرویس های ابری مختلف آورده شده است:
آمازون خدمات وب
AWS CloudGuard S3 Bucket Security
قانون خاص: "اطمینان حاصل کنید که سطل های S3 برای عموم قابل دسترسی نیستند" شناسه قانون: D9.AWS.NET.06
قانون خاص: "مطمئن شوید که سطل های S3 در دسترس عموم نیست." شناسه قانون: D9.AWS.NET.06
Google Cloud Platform
اطمینان حاصل کنید که Cloud Storage DB به صورت ناشناس یا در دسترس عموم نیست شناسه قانون: D9.GCP.IAM.09
اطمینان حاصل کنید که پایگاه داده ذخیره سازی ابری ناشناس یا در دسترس عموم نیست شناسه قانون: D9.GCP.IAM.09
مایکروسافت لاورو
مطمئن شوید که قانون دسترسی به شبکه پیشفرض برای حسابهای ذخیرهسازی به گونهای تنظیم شده است که شناسه قانون را رد کند: D9.AZU.NET.24
مطمئن شوید که قانون دسترسی به شبکه پیشفرض برای حسابهای ذخیرهسازی برای رد قانون شناسه تنظیم شده است D9.AZU.NET.24
بیانیه مطبوعاتی
فراموش نکنید که آن را دنبال کنید Xiaomi-miui.gr در اخبار گوگل تا بلافاصله در مورد تمام مقالات جدید ما مطلع شوید! همچنین اگر از RSS reader استفاده میکنید، میتوانید صفحه ما را به سادگی با دنبال کردن این پیوند >> به لیست خود اضافه کنید https://news.xiaomi-miui.gr/feed/gn