Datenlecks bei in der Cloud gespeicherten Android- und iOS-Apps

Datenlecks bei in der Cloud gespeicherten Android- und iOS-Apps

Wenn es jemals eine überzeugende Saison gab, in der App-Entwicklern von Drittanbietern Ihre Daten nicht anvertraut wurden, dann ist dies die richtige. Ein mobiles Sicherheitsunternehmen hat Datenlecks von Tausenden von Android- und iOS-Apps von Drittanbietern über Cloud-Speicher festgestellt.

Datenlecks entdeckt

Es wäre toll zu sagen, dass dies atemberaubende Neuigkeiten sind, aber es ist nicht so. Es ist wirklich nicht allzu überraschend, dass Benutzerdaten durchgesickert sind, während ahnungslose mobile Benutzer weiterhin ihre vielen Konten eingerichtet haben.

Es kommt alles darauf an, dass Daten falsch behandelt werden. Es scheint nicht ungeheuerlich zu sein – es war nur Nachlässigkeit. Anstatt Daten auf ihren eigenen Servern zu speichern, haben Entwickler von mobilen Apps von Drittanbietern Benutzerdaten unachtsam in der Cloud gespeichert und die Tür mehr oder weniger offen gelassen.

Der mobile Sicherheitsbegriff Zimperium führte eine automatisierte Analyse von 1,3 Millionen Android- und iOS-Apps durch und überprüfte, ob die Datenspeicherung falsch konfiguriert war. 84.000 Android-Apps und fast 47.000 iOS-Apps Es wurde festgestellt, dass ein öffentlicher Cloud-Dienst zum Speichern von Benutzerdaten verwendet wird. Es wurden Dienste wie Amazon Web Services, Google Cloud und Microsoft Azure verwendet. Von diesen Apps, die Cloud-Speicher verwenden, enthüllten 14 Prozent die persönlichen Informationen der Benutzer, darunter Passwörter und sogar medizinische Informationen.

“Es ist ein beunruhigender Trend”, sagt Shridhar Mittal, CEO von Zimperium. „Viele dieser Apps verfügen über Cloud-Speicher, der vom Entwickler oder von jedem, der die Dinge eingerichtet hat, nicht richtig konfiguriert wurde. Aus diesem Grund sind Daten für nahezu jeden sichtbar. Und die meisten von uns haben gerade einige dieser Apps. “

Schlimmer ist, dass die Forscher sich an einige der Entwickler gewandt haben und nur sehr wenig Resonanz hatten – und viele der Apps haben immer noch Daten offengelegt.

Datenlecks entdeckt App Store

Möglicherweise enthalten die Datenlecks viele persönliche Informationen über die Benutzer. Einige der Apps hatten einige tausend Benutzer, andere einige Millionen. Finanzdaten aus einer mobilen Geldbörse eines Fortune 500-Unternehmens gehören zu den exponierten Daten. So sind die Transportdaten einer Großstadt und die Testdaten von medizinischen Apps,

Zimperium versuchte nicht festzustellen, ob Angreifer die exponierten Daten gefunden hatten, aber schlechte Akteure könnten sicherlich dieselben öffentlichen Methoden anwenden, die die Forscher für den Zugriff auf die Informationen angewendet hatten. Und sie könnten nicht nur die exponierten Daten anzeigen. Einige der Fehlkonfigurationen würden es Angreifern ermöglichen, die Daten zu ändern oder zu überschreiben.

Wer ist für dieses Durcheinander verantwortlich?

Die Cloud-Anbieter versuchen zwar, nach Fehlkonfigurationen zu suchen, aber es liegt wirklich an den Entwicklern, diesen Speicher zu überprüfen und sicherzustellen, dass er wie beabsichtigt funktioniert.

Datenlecks entdeckt Android

Es ist absolut sinnvoll, dass Fehlkonfigurationen ein weit verbreitetes Problem sein können “, sagte der Sicherheitsforscher Will Stafrach. „Ich habe AWS-Buckets mit schlechten Berechtigungen gesehen und mehrere VPN-Knoten, die Daten verfügbar machen. Ich habe viele Apps von Unternehmen gesehen, die es besser wissen sollten und schreckliche Sicherheitsprobleme haben. “

Zimperium arbeitet auch in der App Defense Alliance Initiative von Google, um Apps im Play Store zu überprüfen. Der Unterschied zu dieser Arbeit besteht darin, dass sie nach böswilligen Aktivitäten suchen, anstatt nach versehentlichen Datenlecks bei der Cloud-Exposition.

Mittal hofft nur, nach all dem das Bewusstsein für diese Situation zu schärfen.

Wenn Sie befürchten, dass Ihre E-Mails und Passwörter durchgesickert sind, lesen Sie weiter, um zu erfahren, wie Sie sie überwachen können.