За останні 10 років популярність хмарних сервісів для зберігання даних різко зросла. Ви напевно теж використовуєте той же iCloud або Google Диск, щоб не займати місце на комп’ютері або айфоні. Тим більше зручно, що багато програм дозволяють зберігати дані в хмарі. Але, як з’ясувалося, такі додатки часто байдуже ставляться до безпеки даних своїх користувачів. Компанія Zimperium, яка займається мобільного безпекою, виявила, що десятки тисяч додатків iOS і Android використовують неправильні конфігурації роботи хмарних сервісів, через що дані користувачів може завантажити майже будь-хто.
Через зневажливе ставлення розробників можуть постраждати прості користувачі
Фахівці з інформаційної безпеки провели автоматичний аналіз понад 1,3 мільйона додатків для Android і iOS, щоб виявити поширені неправильні конфігурації хмари, які відкривають доступ до даних користувачів. Дослідники виявили близько 84 000 додатків для Android і майже 47 000 додатків для iOS, які використовують загальнодоступні хмарні сервіси, такі як Amazon Web Services, Google Cloud або Microsoft Azure, а не власні сервери. З них дослідники виявили неправильні конфігурації в 14% від загального числа програм – це 11 877 додатків для Android і 6 608 додатків для iOS. Дані програми розкривають особисту інформацію користувачів, паролі і навіть медичні відомості, пише Wired.
Як відзначають експерти, більшість з цих додатків мають хмарне сховище, яке не було належним чином налаштовано розробником або ким-небудь ще, і через це дані користувачів видно практично будь-кому.
У більшості з нас встановлені деякі з цих додатків прямо зараз, – заявили в Zimperium.
Нова уразливість додатків в App Store
Якби розробники правильно налаштували хмарні сервіси, проблем не було б.
Дослідники звернулися до кількох розробників додатків, в яких вони виявили уразливості хмари, але, за їхніми словами, їм відповіли далеко не всі, і більшість додатків продовжують використовувати відкриті дані. На жаль, Zimperium не називає проблемні додатки в своєму звіті. Крім того, дослідники не можуть повідомити відразу десятки тисяч розробників.
Послуги, які вони розглядали, охоплюють широкий діапазон: від додатків з декількома тисячами користувачів до додатків з декількома мільйонами.
Один з таких додатків – це мобільний гаманець від компанії зі списку Fortune 500, який надає деяку інформацію про сеанси і фінансові дані користувача. Інший приклад – транспортний додаток, де у відкритому вигляді зберігаються дані про платежі. Дослідники також виявили відкриті медичні програми з результатами тестів і навіть зображення профілів користувачів.
Компанія поки не змогла оцінити, чи виявили зловмисники будь-які уразливості зі знайдених експертами. Але відзначається, що їх буде легко знайти, використовуючи ту ж загальнодоступну інформацію, яку Zimperium використовувала в своїх дослідженнях. Хакерські групи вже здійснюють цей тип сканування, щоб знайти неправильні конфігурації хмари в веб-сервісах. Додатково до всього, дослідники виявили, що деякі неправильні конфігурації дозволяють зловмисникам змінювати або перезаписувати дані.
Як убезпечити свої дані?
Основні постачальники хмарних послуг, такі як Amazon, вже зробили зусилля по виявленню можливих неправильних конфігурацій і попередження клієнтів про них, але все одно багато що залежить від розробників, оскільки усунути ці вразливості повинні саме вони.
Цілком очевидно, що неправильна конфігурація хмарних сервісів може бути широко поширеною проблемою, – говорить Віл Страфах, дослідник безпеки iOS і творець програми Guardian Firewall.
Схоже, багато сервісів, в тому числі великі, мають серйозні проблеми з безпекою хмарних даних. Шкода, ми поки не знаємо конкретні назви таких додатків, але сподіваємось, ця інформація скоро спливе.