Разработчики приложений полагаются на сторонние серверы для упрощения хранения данных, но новое исследование показывает, что на этих серверах часто практически отсутствует защита конфиденциальных данных.

Сторонние серверы от Amazon, Google и Microsoft предлагают простой способ хранения пользовательских данных и системных файлов без необходимости возиться с кодированием сервера самостоятельно. Однако, как сообщается, разработчики часто забывают защитить эти серверы и оставляют пользовательские данные открытыми, чтобы кто-нибудь мог их найти и украсть.

Новое исследование Zimperium показывает, что это происходит во всех категориях приложений, независимо от поставщика. Они обнаружили, что 14% приложений для iOS и Android, использующих облачное хранилище, имеют незащищенные конфигурации и уязвимы для атак.

В исследовании отмечается, что тип данных, доступных на этих серверах, зависит от рассматриваемых приложений, но все сохраненные данные могут использоваться злоумышленниками. Незащищенные данные охватывают все, от имен и адресов до медицинских и финансовых данных о каждом пользователе.

Zimperium заявляет, что уязвимости и данные, оставленные незащищенными, могут быть использованы для получения доступа к еще более конфиденциальным данным и операционным процессам. В некоторых приложениях произошла утечка скриптов всей облачной инфраструктуры, включая SSH-ключи и пароли для платежных киосков.

Проводной поговорили с исследователями об отчете, отметив, что они обнаружили 84 000 приложений для Android и 47 000 приложений для iOS, использующих общедоступные облачные сервисы. Из тех, кто пользовался услугами, 14% раскрывали пользовательские данные.

“Это тревожная тенденция”, – сказал Шридхар Миттал, генеральный директор Zimperium. Проводной. «Многие из этих приложений имеют облачное хранилище, которое не было должным образом настроено разработчиком или кем-либо еще, и из-за этого данные видны практически любому. И у большинства из нас есть некоторые из этих приложений прямо сейчас».

Категории приложений с разрешениями сервера и проблемами безопасности.  Изображение предоставлено: Zimperium

Категории приложений с разрешениями сервера и проблемами безопасности. Изображение предоставлено: Zimperium

Проблема заключается в разработчиках, которые не защищают свой сервер, поэтому затронуты все категории приложений. Наиболее затронутые категории, обнаруженные в ходе исследования, включают бизнес, покупки, социальные сети, коммуникации и инструменты.

Пользователи приложений не могут напрямую повлиять на эту ситуацию, но вы можете знать, какие приложения вы используете, и их репутацию. Если утечка данных происходит в популярном приложении, об этом обычно сообщается в популярных новостных источниках, однако не обо всех утечках сообщается общественности.

Apple использует сторонние серверы для iCloud и других частей своего бизнеса. Его системы и раньше подвергались атакам и даже взломам, но никакие пользовательские данные не были украдены. Компания использует лучшую доступную безопасность для своих экземпляров AWS и Google Cloud.

Разработчики должны принять к сведению эту проблему и действовать. Использование сторонних серверов не проблема, если для сервера настроена надлежащая безопасность и данные защищены. Zimperium надеется, что их исследования могут побудить разработчиков принять меры и защитить свои службы данных.

.