調査によると、懸念すべき数の Android および iOS アプリのクラウドが誤って構成されており、多くのユーザーのデータが漏洩していることが判明しました。ハッカーは個人データや医療データにアクセスし、場合によってはアカウントやパスワードを消去することさえできます。
Zimperium のセキュリティ研究者は次のことを警告しています。憂慮すべき現象。自動テストのおかげで、彼らは次のことに気づきました。何万ものアプリケーションが、開発者が誤って設定したクラウド サービスに依存しています。これにより、そこに保存されている機密データの一部が公開されます。
Zimperium は Google の App Defense アライアンスの一部です厳選された俳優が集まり、その役割は、Google Play プロテクトに加えてスキャンするGoogle Play ストア注ぐアプリストアのセキュリティ問題を強調表示する。これらの不適切な構成すべてのカテゴリのアプリケーションに影響を与える。
クラウド構成の問題: すべてのアプリケーション カテゴリが影響を受ける
Zimperiumは同様の問題が見つかったと説明している数千ダウンロードのアプリケーションと数百万ダウンロードのアプリケーションの両方。問題の程度が大きいため、組織は影響を受けるアプリケーションのリストを公開したくないと考えています。
実際、研究者たちはそれほど多くの開発者に警告することができませんでした。。そして彼らはそうしたとき、次のことに気づきました。関係者の反応はせいぜい不十分だった。同社によれば、該当するアプリケーションの中には、フォーチュン 500 企業が公開したデジタル ウォレットが含まれており、財務データだけでなくユーザー セッション データも公開されています。
しかし、検査結果やプロフィール写真さえも暗号化されていないプレーンテキストで表示される医療アプリケーションも含まれます。 Zimperium では、銀行データへの暗号化されていないアクセスを提供する大都市向けの交通アプリケーションのケースについても説明しています。この機密性の高いユーザー データに加えて、研究者はネットワーク ログインとパスワードのペア、システム構成ファイル、サーバー アーキテクチャ キーを発見することがありました。。
次の例もお読みください。セキュリティ上の欠陥により Go SMS Pro アプリが脅かされ、数百万ものプライベート写真が流出
AWS、Azure、Google Cloud…開発者はセキュリティの唯一のマスターであることを忘れています
彼らに与えるのに十分ですこれらの企業のITインフラストラクチャへの深いアクセス。あるケースでは、研究者は次のように報告しています。権限を昇格させることなく誰でもデータを削除または変更できるサーバー。全体として、同社は次のことを発見したと説明しています少なくとも 20,000 個の Android および iOS アプリケーションのクラウドが誤って構成されていたユーザーのセキュリティを脅かすレベルまで。
問題の根本は、間違いなく、最新の Web とアプリケーションが基づいていることです。ターンキークラウドサービスこれにより、開発者は実際に独自のクラウド ソリューションの構築や保守に取り組むのではなく、アプリケーションの機能に主に集中できるようになります。
現在まで、クラウドには主に 3 つの主要なプレーヤーが存在します。アマゾン ウェブ サービス (AWS)、Microsoft Azure、Google Cloud Platform。ただし、これらのプラットフォームが本当にクラウド インフラストラクチャの実装を簡素化するのであれば、アプリケーション内のコードの問題から開発者を保護することはできません。
彼らはインフラストラクチャのごく一部しか管理していないため、開発者は少し警戒を緩める傾向があります。これが、AWS のようなサービスができる限りのことを行う理由です。開発者に事前に通知する構成上の問題を検出したとき。ただし、競合他社と同様に、Amazon もこれらの構成問題を魔法のように解消することはできません。
Android および iOS ユーザーにはアプリのセキュリティに関する情報がまだ不足しています
「これはユーザーにとって、医療データ、検査結果、電話番号、さらには特定のアカウントのパスワードなどの個人データが公開される可能性があることを意味します。ただし、これは企業にとってリスクでもあります。ハッカーは、より深い攻撃を実行するのに役立つ情報を入手できます。」シュリダール・ミタルPDG de Zimperium氏はこう述べています。
したがって、開発者は特に警戒する必要があります。。リスクについては何も仮想的なものはありません。ハッカーグループは常にアプリストアをスキャンしていますクラウド構成の問題をトラブルシューティングします。そして、私たちがこれらの行を書いているときに、彼らがこの種のエラーに基づいて慎重な攻撃を実行していることは間違いありません。
今のところ、残念ながらユーザーは何もできません。Apple がファイルをセットアップしましたこれは、各アプリが個人データをどのように使用するかを示しており、収集するデータが少ないアプリに誘導するのに役立ちます。しかしApp Store にも Play ストアにも、特定のアプリケーションのクラウド ソリューションのセキュリティの程度を実際に認識できるものはありません。。
