Η チェック・ポイント・リサーチ(CPR) で機密データを発見 モバイルアプリケーション 保護されておらず、 ブラウザ.
Ψを指しています "VirusTotalの"、 NS CPR 彼は見つけた 2.113のモバイルアプリケーション、そのデータベースは すべてXNUMXか月の調査研究の間、保護されておらず、暴露されていました。 モバイルアプリケーションの範囲は 10.000回以上のダウンロード最大10.000.000回以上のダウンロード.
Η チェック・ポイント・リサーチ(CPR) さまざまなモバイルアプリケーションの機密データが公開され、ブラウザを持っている人なら誰でも利用できることがわかりました。 The VirusTotalのGoogleの関連会社であるは、ファイルとURLを分析してウイルス、トロイの木馬、その他の形式のマルウェアを検出する無料のオンラインツールです。
によって公開された機密データ CPR 含まれるもの: 個人の家族の写真、ヘルスケアアプリのクーポンID、暗号通貨交換プラットフォームからのデータ そして、はるかに。 CPRは、データが公開されていることが判明したアプリケーションの例をいくつか提供します。
それらのXNUMXつでは、CPRはより多くの露出を発見しました 50.000件のプライベートメッセージ 人気の出会い系アプリから。 THE CPR 説明した方法でデータ侵害がいかに簡単に発生するか、およびクラウドセキュリティ開発者がアプリケーションをより適切に保護するために何ができるかについて警告します。 悪用を避けるために、CPRは現在、調査に関与するモバイルアプリケーションの名前をリストしません。
アクセス方法論
公開されたデータベースにアクセスするための方法論は単純です。
- でクラウドサービスと通信するモバイルアプリケーションを検索します VirusTotalの
- データに直接アクセスできるものをアーカイブする
- 受け取ったリンクを閲覧する
コメント:チェック・ポイント・ソフトウェアの脅威インテリジェンスおよび調査責任者、Lotem Finkelsteen:
ハッカーは尋ねるかもしれません VirusTotalの モバイルアプリケーションのクラウドバックエンドへの完全なパス。 私たちはそこで見つけたもののいくつかの例を共有しています。 私たちが見つけたものはすべて誰でも利用できます。 最後に、この調査により、データ侵害や悪用がいかに簡単に発生するかを証明します。
オープンでクラウド内の誰もが利用できるデータの量は非常識です。 私たちが思っているよりもはるかに簡単に壊すことができます。
安全を保つ方法:
さまざまなクラウドサービスを安全に保つためのヒントを次に示します。
Amazon Webサービス
AWSCloudGuardS3バケットセキュリティ
特定のルール:「S3バケットが一般公開されていないことを確認してください」 ルールID:D9.AWS.NET.06
具体的なルール:「S3バケットが一般の人々にアクセスできないようにしてください。」 ルールID:D9.AWS.NET.06
Google Cloud Platform
CloudStorageDBが匿名または公的にアクセス可能でないことを確認します ルールID:D9.GCP.IAM.09
クラウドストレージデータベースが匿名または公的にアクセス可能でないことを確認してください ルールID:D9.GCP.IAM.09
Microsoft Azure
ストレージアカウントのデフォルトのネットワークアクセスルールがルールIDを拒否するように設定されていることを確認します。 D9.AZU.NET.24
ストレージアカウントのデフォルトのネットワークアクセスルールがルールIDを拒否するように設定されていることを確認してください D9.AZU.NET.24
ΔελτίοΤύπου
それに従うことを忘れないでください Xiaomi-miui.gr に グーグルニュース すべての新しい記事についてすぐに通知されます! RSSリーダーを使用している場合は、このリンクをたどるだけで、リストにページを追加することもできます>> https://news.xiaomi-miui.gr/feed/gn