Η การวิจัยจุดตรวจ (CPR) ค้นพบข้อมูลที่ละเอียดอ่อนใน แอปพลิเคชั่นมือถือ ไม่มีการป้องกันและพร้อมให้ทุกคนที่มี เบราว์เซอร์.
Ψชี้ไปที่ “VirusTotal", ที่ การทำ CPR เขาพบ 2.113 แอปพลิเคชั่นมือถือซึ่งมีฐานข้อมูลอยู่ใน เมฆ ไม่มีการป้องกันและเปิดเผย ทั้งหมดนี้ในระหว่างการศึกษาวิจัยสามเดือน แอปพลิเคชั่นมือถือมีตั้งแต่ ดาวน์โหลด 10.000+ มากถึง 10.000.000+ ดาวน์โหลด.
Η การวิจัยจุดตรวจ (CPR) พบว่ามีการเปิดเผยข้อมูลที่ละเอียดอ่อนของแอพพลิเคชั่นมือถือและทุกคนที่มีเบราว์เซอร์ ดิ VirusTotalซึ่งเป็นบริษัทในเครือของ Google เป็นเครื่องมือออนไลน์ฟรีที่วิเคราะห์ไฟล์และ URL เพื่อตรวจหาไวรัส โทรจัน และมัลแวร์รูปแบบอื่นๆ
ข้อมูลที่ละเอียดอ่อนถูกเปิดเผยโดย การทำ CPR รวมอยู่ด้วย: ภาพถ่ายครอบครัวส่วนตัว, รหัสคูปองในแอปการดูแลสุขภาพ, ข้อมูลจากแพลตฟอร์มการแลกเปลี่ยนสกุลเงินดิจิตอล และอีกมากมาย การทำ CPR ให้ตัวอย่างการใช้งานต่างๆ ที่พบว่าข้อมูลถูกเปิดเผย
หนึ่งในนั้นพบว่า CPR เปิดเผยมากกว่า 50.000 ข้อความส่วนตัว จากแอพหาคู่ยอดนิยม เธ การทำ CPR เตือนว่าข้อมูลรั่วไหลได้ง่ายเพียงใดผ่านวิธีการที่อธิบายไว้ และสิ่งที่นักพัฒนาความปลอดภัยบนคลาวด์สามารถทำได้เพื่อปกป้องแอปพลิเคชันของตนได้ดียิ่งขึ้น เพื่อหลีกเลี่ยงการแสวงหาผลประโยชน์ ขณะนี้ CPR จะไม่แสดงชื่อแอปพลิเคชันมือถือที่เกี่ยวข้องกับการสอบสวน
วิธีการเข้าถึง
ในการเข้าถึงฐานข้อมูลที่เปิดเผย วิธีการนั้นง่าย:
- ค้นหาแอปพลิเคชั่นมือถือที่สื่อสารกับบริการคลาวด์ที่ VirusTotal
- เก็บถาวรผู้ที่มีการเข้าถึงข้อมูลโดยตรง
- เรียกดูลิงค์ที่คุณได้รับ
ความคิดเห็น: Lotem Finkelsteen หัวหน้าฝ่ายข่าวกรองภัยคุกคามและการวิจัยที่ Check Point Software:
แฮ็กเกอร์อาจถาม VirusTotal เส้นทางที่สมบูรณ์ไปยังแบ็กเอนด์ระบบคลาวด์ของแอปพลิเคชันมือถือ เราเองก็แบ่งปันตัวอย่างบางส่วนของสิ่งที่เราสามารถพบได้ที่นั่น ทุกสิ่งที่เราพบมีให้ทุกคน สุดท้าย ด้วยการวิจัยนี้ เราได้พิสูจน์ว่าการละเมิดข้อมูลหรือการแสวงหาผลประโยชน์เกิดขึ้นได้ง่ายเพียงใด
ปริมาณข้อมูลที่เปิดและเข้าถึงได้สำหรับทุกคนในระบบคลาวด์นั้นเป็นเรื่องเหลือเชื่อ แตกง่ายกว่าที่เราคิดมาก
อยู่อย่างไรให้ปลอดภัย:
นี่คือเคล็ดลับบางประการเพื่อให้แน่ใจว่าบริการคลาวด์ต่างๆ ของคุณปลอดภัย:
Amazon Web Services
ความปลอดภัยของบัคเก็ต AWS CloudGuard S3
กฎเฉพาะ: “ตรวจสอบให้แน่ใจว่าไม่ได้เข้าถึงที่ฝากข้อมูล S3 แบบสาธารณะ” รหัสกฎ: D9.AWS.NET.06
กฎเฉพาะ: "ตรวจสอบให้แน่ใจว่าสาธารณะทั่วไปไม่สามารถเข้าถึงที่ฝากข้อมูล S3" รหัสกฎ: D9.AWS.NET.06
Google Cloud Platform
ตรวจสอบว่า Cloud Storage DB ไม่เปิดเผยตัวตนหรือเข้าถึงได้แบบสาธารณะ รหัสกฎ: D9.GCP.IAM.09
ตรวจสอบให้แน่ใจว่าฐานข้อมูลที่เก็บข้อมูลบนคลาวด์ไม่เปิดเผยตัวตนหรือเข้าถึงได้แบบสาธารณะ รหัสกฎ: D9.GCP.IAM.09
Microsoft Azure
ตรวจสอบให้แน่ใจว่ากฎการเข้าถึงเครือข่ายเริ่มต้นสำหรับบัญชีที่เก็บข้อมูลถูกตั้งค่าให้ปฏิเสธรหัสกฎ: D9.AZU.NET.24
ตรวจสอบให้แน่ใจว่ากฎการเข้าถึงเครือข่ายเริ่มต้นสำหรับบัญชีที่เก็บข้อมูลถูกตั้งค่าให้ปฏิเสธ Rule ID D9.AZU.NET.24
ข่าวประชาสัมพันธ์
อย่าลืมกดติดตามนะครับ Xiaomi-miui.gr ที่ Google News เพื่อแจ้งให้ทราบทันทีเกี่ยวกับบทความใหม่ทั้งหมดของเรา! คุณยังสามารถถ้าคุณใช้โปรแกรมอ่าน RSS ให้เพิ่มหน้าของเราในรายการของคุณโดยทำตามลิงค์นี้ >> https://news.xiaomi-miui.gr/feed/gn
