Η Investigación de Check Point (CPR) descubrió datos confidenciales en aplicaciones móviles desprotegido y disponible para cualquier persona con un Navegador.
Ψapuntando a “VirusTotal", el RCP encontró 2.113 aplicaciones móviles, cuyas bases de datos en cloud estaban desprotegidos y expuestos, todo durante un estudio de investigación de tres meses. Las aplicaciones móviles van desde 10.000+ descargas hasta 10.000.000+ descargas.
Η Investigación de Check Point (CPR) descubrió que los datos confidenciales de una variedad de aplicaciones móviles estaban expuestos y disponibles para cualquier persona con un navegador. los VirusTotal, una filial de Google, es una herramienta en línea gratuita que analiza archivos y URL para detectar virus, troyanos y otras formas de malware.
Los datos confidenciales encontrados expuestos por RCP incluido: fotos familiares personales, identificaciones de cupones en una aplicación de atención médica, datos de plataformas de intercambio de criptomonedas Y mucho más. CPR proporciona varios ejemplos de aplicaciones cuyos datos se encontraron expuestos.
En uno de ellos, la RCP encontró expuestos a más de 50.000 mensajes privados de una popular aplicación de citas. LOS RCP advierte sobre la facilidad con la que se puede producir una filtración de datos a través del método descrito y qué pueden hacer los desarrolladores de seguridad en la nube para proteger mejor sus aplicaciones. Para evitar la explotación, CPR no incluirá actualmente los nombres de las aplicaciones móviles involucradas en la investigación.
Metodología de acceso
Para acceder a las bases de datos expuestas, la metodología es simple:
- Busque aplicaciones móviles que se comuniquen con servicios en la nube en VirusTotal
- Archivar aquellos que tienen acceso directo a los datos
- Explora el enlace que recibiste
Comentario: Lotem Finkelsteen, Jefe de Inteligencia e Investigación de Amenazas en Check Point Software:
Un hacker puede preguntar VirusTotal la ruta completa al backend en la nube de una aplicación móvil. Nosotros mismos compartimos algunos ejemplos de lo que pudimos encontrar allí. Todo lo que encontramos está disponible para cualquiera. Finalmente, con esta investigación demostramos lo fácil que es que ocurra una violación o explotación de datos.
La cantidad de datos abiertos y disponibles para cualquier persona en la nube es una locura. Es mucho más fácil de romper de lo que pensamos.
Cómo mantenerse a salvo:
Estos son algunos consejos para garantizar que sus diversos servicios en la nube sean seguros:
Amazon Web Services
Seguridad del depósito de AWS CloudGuard S3
Regla específica: "Asegúrese de que los cubos S3 no sean de acceso público" ID de regla: D9.AWS.NET.06
Regla específica: "Asegúrese de que los cubos S3 no sean accesibles para el público en general". ID de regla: D9.AWS.NET.06
Google Cloud Platform
Asegúrese de que la base de datos de Cloud Storage no sea de acceso público o anónimo ID de regla: D9.GCP.IAM.09
Asegúrese de que la base de datos de almacenamiento en la nube no sea anónima ni de acceso público ID de regla: D9.GCP.IAM.09
microsoft Azure
Asegúrese de que la regla de acceso a la red predeterminada para las cuentas de almacenamiento esté configurada para denegar el ID de la regla: D9.AZU.NET.24
Asegúrese de que la regla de acceso a la red predeterminada para las cuentas de almacenamiento esté configurada para denegar ID de regla D9.AZU.NET.24
presione soltar
No te olvides de seguirlo xiaomi-miui.gr en noticias de Google para estar informado inmediatamente sobre todos nuestros nuevos artículos! También puede, si usa un lector de RSS, agregar nuestra página a su lista simplemente siguiendo este enlace >> https://news.xiaomi-miui.gr/feed/gn
