Datenlecks bei in der Cloud gespeicherten Android- und iOS-Apps

Perdite di dati rilevate su app Android e iOS archiviate nel cloud

Se c’è mai stata una stagione avvincente per non fidarsi degli sviluppatori di app di terze parti con i tuoi dati, è questa. Un’azienda di sicurezza mobile ha rilevato fughe di dati da migliaia di app Android e iOS di terze parti attraverso l’archiviazione cloud.

Rilevate perdite di dati

Sarebbe bello dire che questa è una notizia straordinaria, ma non lo è. Non è poi così sorprendente che i dati degli utenti siano trapelati mentre ignari utenti mobili hanno continuato a configurare i loro numerosi account.

Tutto si riduce a una cattiva gestione dei dati. Non sembra essere eccessivo – era solo disattenzione. Invece di archiviare i dati sui propri server, gli sviluppatori di app mobili di terze parti hanno archiviato con noncuranza i dati degli utenti nel cloud e più o meno hanno lasciato la porta aperta.

Il termine di sicurezza mobile Zimperium ha eseguito un’analisi automatizzata su 1,3 milioni di app Android e iOS, verificando la presenza di errori di configurazione nell’archiviazione dei dati. 84.000 app Android e quasi 47.000 app iOS è stato riscontrato che utilizzava un servizio cloud pubblico per archiviare i dati degli utenti. Sono stati utilizzati servizi come Amazon Web Services, Google Cloud e Microsoft Azure. Di quelle app che utilizzano l’archiviazione cloud, il 14% ha esposto le informazioni personali degli utenti, incluse password e persino informazioni mediche.

“È una tendenza inquietante”, afferma Shridhar Mittal, CEO di Zimperium. “Molte di queste app hanno un cloud storage che non è stato configurato correttamente dallo sviluppatore o da chiunque abbia impostato le cose e, per questo motivo, i dati sono visibili praticamente a chiunque. E la maggior parte di noi ha alcune di queste app in questo momento. “

Quel che è peggio è che i ricercatori hanno contattato alcuni sviluppatori e hanno avuto pochissime risposte e molte delle app hanno ancora esposto i dati.

Rilevate perdite di dati App Store

Potenzialmente, le fughe di dati includono molte informazioni personali sugli utenti. Alcune delle app avevano poche migliaia di utenti, mentre altre ne avevano pochi milioni. I dati finanziari di un portafoglio mobile appartenente a una società Fortune 500 sono tra i dati esposti. Così sono i dati sui trasporti di una grande città e i dati dei test delle app mediche,

Zimperium non ha cercato di accertare se gli aggressori avessero trovato i dati esposti, ma i cattivi attori sarebbero certamente in grado di utilizzare gli stessi metodi pubblici utilizzati dai ricercatori per accedere alle informazioni. E non sarebbero solo in grado di visualizzare i dati esposti. Alcune delle configurazioni errate consentirebbero agli aggressori di modificare o sovrascrivere i dati.

Chi è responsabile di questo pasticcio?

I fornitori di servizi cloud provano a controllare le configurazioni errate, ma spetta agli sviluppatori controllare questo spazio di archiviazione e assicurarsi che funzioni come previsto.

Rilevate perdite di dati Android

È assolutamente logico che la configurazione errata possa essere un problema diffuso “, ha affermato il ricercatore di sicurezza Will Stafrach. “Ho visto bucket AWS con autorizzazioni errate e ho anche visto più nodi VPN esporre i dati. Ho visto molte app di aziende che dovrebbero sapere meglio che hanno orribili problemi di sicurezza “.

Zimperium funziona anche nell’iniziativa dell’Alleanza per la difesa delle app di Google per controllare le app sul Play Store. La differenza con quel lavoro è che stanno cercando attività dannose invece delle fughe di dati accidentali dell’esposizione al cloud.

Dopo tutto questo, Mittal spera solo di aumentare la consapevolezza di questa situazione.

Se sei preoccupato che la tua email e le tue password siano trapelate, continua a leggere per scoprire come monitorarle.