Η Check Point Research (RCR) découvert des données sensibles dans Applications mobiles non protégé et accessible à toute personne ayant un Navigateur.
Ψpointant vers "VirusTotal", la CPR il a trouvé 2.113 XNUMX applications mobiles, dont les bases de données dans nuage ont été non protégés et exposés, le tout au cours d'une étude de recherche de trois mois. Les applications mobiles allaient de 10.000 10.000.000+ téléchargements jusqu'à XNUMX XNUMX XNUMX+ téléchargements.
Η Check Point Research (RCR) a constaté que les données sensibles d'une gamme d'applications mobiles étaient exposées et accessibles à toute personne disposant d'un navigateur. le VirusTotal, une filiale de Google, est un outil en ligne gratuit qui analyse les fichiers et les URL pour détecter les virus, les chevaux de Troie et d'autres formes de logiciels malveillants.
Les données sensibles trouvées exposées par CPR inclus: photos de famille personnelles, identifiants de coupon dans une application de soins de santé, données provenant de plates-formes d'échange de crypto-monnaie Et beaucoup plus. CPR fournit plusieurs exemples d'applications dont les données ont été trouvées exposées.
Dans l'un d'eux, le CPR a trouvé exposé plus de 50.000 XNUMX messages privés à partir d'une application de rencontres populaire. LA CPR avertit de la facilité avec laquelle une violation de données peut se produire grâce à la méthode décrite et de ce que les développeurs de sécurité cloud peuvent faire pour mieux protéger leurs applications. Afin d'éviter toute exploitation, le CPR ne listera pas actuellement les noms des applications mobiles impliquées dans l'enquête.
Méthodologie d'accès
Pour accéder aux bases de données exposées, la méthodologie est simple :
- Recherchez des applications mobiles qui communiquent avec les services cloud sur VirusTotal
- Archivez ceux qui ont un accès direct aux données
- Parcourez le lien que vous avez reçu
Commentaire : Lotem Finkelsteen, responsable Threat Intelligence and Research chez Check Point Software :
Un pirate peut demander VirusTotal le chemin complet vers le backend cloud d'une application mobile. Nous partageons nous-mêmes quelques exemples de ce que nous pourrions y trouver. Tout ce que nous avons trouvé est accessible à tous. Enfin, avec cette recherche, nous prouvons à quel point il est facile pour une violation ou une exploitation de données de se produire.
La quantité de données ouvertes et accessibles à tous dans le cloud est insensée. Il est beaucoup plus facile de casser qu'on ne le pense.
Comment rester en sécurité :
Voici quelques conseils pour vous assurer que vos différents services cloud sont sécurisés :
Amazon Web Services
Sécurité du compartiment AWS CloudGuard S3
Règle spécifique : "Assurez-vous que les buckets S3 ne sont pas accessibles au public" ID de règle : D9.AWS.NET.06
Règle spécifique : "Assurez-vous que les compartiments S3 ne sont pas accessibles au grand public." ID de règle : D9.AWS.NET.06
Google Cloud Platform
Assurez-vous que la base de données Cloud Storage n'est pas accessible de manière anonyme ou publique ID de règle : D9.GCP.IAM.09
Assurez-vous que la base de données de stockage en nuage n'est pas anonyme ou accessible au public ID de règle : D9.GCP.IAM.09
Microsoft Azure
Assurez-vous que la règle d'accès au réseau par défaut pour les comptes de stockage est définie pour refuser l'ID de règle : D9.AZU.NET.24
Assurez-vous que la règle d'accès au réseau par défaut pour les comptes de stockage est définie sur Refuser ID de règle D9.AZU.NET.24
Communiqué de presse
N'oubliez pas de le suivre Xiaomi-miui.gr à Google Actualités pour être informé immédiatement de tous nos nouveaux articles ! Vous pouvez aussi si vous utilisez un lecteur RSS, ajouter notre page à votre liste, simplement en suivant ce lien >> https://news.xiaomi-miui.gr/feed/gn