Η Pesquisa de ponto de verificação (RCP) descobriu dados confidenciais em Aplicações Móveis desprotegido e disponível para qualquer pessoa com Navegador.
Ψapontando para "VirusTotal", a CPR ele encontrou 2.113 aplicativos móveis, cujos bancos de dados em Nuvem foram desprotegidos e expostos, tudo durante um estudo de pesquisa de três meses. Os aplicativos móveis variam de Mais de 10.000 downloads até mais de 10.000.000 downloads.
Η Pesquisa de ponto de verificação (RCP) descobriu que os dados confidenciais de uma variedade de aplicativos móveis foram expostos e disponíveis para qualquer pessoa com um navegador. O VirusTotal, uma afiliada do Google, é uma ferramenta online gratuita que analisa arquivos e URLs para detectar vírus, trojans e outras formas de malware.
Os dados confidenciais encontrados expostos por CPR incluído: fotos pessoais de família, códigos de cupom em um aplicativo de saúde, dados de plataformas de troca de criptomoedas E muito mais. O CPR fornece vários exemplos de aplicativos cujos dados foram encontrados expostos.
Em um deles, a RCP encontrou expostos mais de 50.000 mensagens privadas de um aplicativo de namoro popular. A CPR alerta sobre a facilidade com que a violação de dados pode ocorrer por meio do método descrito e o que os desenvolvedores de segurança na nuvem podem fazer para proteger melhor seus aplicativos. Para evitar exploração, o CPR não listará atualmente os nomes dos aplicativos móveis envolvidos na investigação.
Metodologia de Acesso
Para acessar bancos de dados expostos, a metodologia é simples:
- Procure aplicativos móveis que se comunicam com serviços em nuvem em VirusTotal
- Arquive aqueles que têm acesso direto aos dados
- Navegue pelo link que você recebeu
Comentário: Lotem Finkelsteen, chefe de inteligência e pesquisa de ameaças da Check Point Software:
Um hacker pode perguntar VirusTotal o caminho completo para o back-end de nuvem de um aplicativo móvel. Nós mesmos compartilhamos alguns exemplos do que pudemos encontrar lá. Tudo o que encontramos está disponível para qualquer pessoa. Por fim, com esta pesquisa provamos como é fácil ocorrer uma violação ou exploração de dados.
A quantidade de dados abertos e disponíveis para qualquer pessoa na nuvem é insana. É muito mais fácil quebrar do que pensamos.
Como se manter seguro:
Aqui estão algumas dicas para garantir que seus vários serviços de nuvem sejam seguros:
Amazon Web Services
Segurança de bucket do AWS CloudGuard S3
Regra específica: “Garantir que os buckets do S3 não sejam acessíveis publicamente” ID da regra: D9.AWS.NET.06
Regra específica: "Certifique-se de que os buckets do S3 não sejam acessíveis ao público em geral". ID da regra: D9.AWS.NET.06
Google Cloud Platform
Certifique-se de que o banco de dados do Cloud Storage não seja acessível publicamente ou de forma anônima ID da regra: D9.GCP.IAM.09
Certifique-se de que o banco de dados de armazenamento em nuvem não seja anônimo ou acessível publicamente ID da regra: D9.GCP.IAM.09
e Microsoft Azure
Certifique-se de que a regra de acesso à rede padrão para contas de armazenamento esteja definida para negar o ID da regra: D9.AZU.NET.24
Verifique se a regra de acesso à rede padrão para contas de armazenamento está definida para negar o ID da regra D9.AZU.NET.24
Comunicado de Imprensa
Não se esqueça de seguir Xiaomi-miui.gr em Google News para ser informado imediatamente sobre todos os nossos novos artigos! Você também pode, se usar um leitor RSS, adicionar nossa página à sua lista simplesmente seguindo este link >> https://news.xiaomi-miui.gr/feed/gn