Fuites de données trouvées sur les applications Android et iOS stockées dans le cloud

Bulutta Depolanan Android ve iOS Uygulamalarında Bulunan Veri Sızıntıları

⌛ Reading Time: 3 minutes

Verileriniz konusunda üçüncü taraf uygulama geliştiricilerine güvenmemek için zorlayıcı bir dönem varsa, o da budur. Bir mobil güvenlik firması, bulut depolama yoluyla binlerce üçüncü taraf Android ve iOS uygulamasından veri sızıntısı buldu.

Veri Sızıntıları Keşfedildi

Bunun çarpıcı bir haber olduğunu söylemek harika olurdu, ama değil. Şüphelenmeyen mobil kullanıcılar birçok hesaplarını oluşturmaya devam ederken, kullanıcı verilerinin sızdırılması gerçekten şaşırtıcı değil.

Her şey yanlış kullanılan verilere bağlı. Korkunç görünmüyor – sadece dikkatsizlikti. Üçüncü taraf mobil uygulama geliştiricileri, verileri kendi sunucularında depolamak yerine, kullanıcı verilerini dikkatsizce bulutta depoladı ve az ya da çok kapıyı açık bıraktı.

Mobil güvenlik terimi Zimperium, 1,3 milyon Android ve iOS uygulamasında otomatik bir analiz yürüttü ve verilerin depolanmasında yanlış yapılandırmaları kontrol etti. 84.000 Android uygulaması ve yaklaşık 47.000 iOS uygulaması kullanıcı verilerini depolamak için bir genel bulut hizmeti kullandığı tespit edildi. Amazon Web Services, Google Cloud, Microsoft Azure gibi servisler kullanıldı. Bulut depolama kullanan bu uygulamaların yüzde 14’ü, kullanıcıların parolaları ve hatta tıbbi bilgileri içeren kişisel bilgilerini ifşa etti.

Zimperium’un CEO’su Shridhar Mittal, “Bu rahatsız edici bir trend” diyor. “Bu uygulamaların birçoğunda, geliştirici veya kurulum yapan kişi tarafından düzgün şekilde yapılandırılmamış bulut depolama alanı var ve bu nedenle, veriler hemen hemen herkes tarafından görülebilir. Ve çoğumuz şu anda bu uygulamalardan bazılarına sahibiz.”

Daha da kötüsü, araştırmacılar bazı geliştiricilere ulaştı ve çok az yanıt aldı – ve uygulamaların çoğu hala verileri ifşa etti.

Veri Sızıntıları Keşfedildi App Store

Potansiyel olarak, veri sızıntıları, kullanıcılar hakkında birçok kişisel bilgi içerir. Bazı uygulamaların birkaç bin, bazılarının ise birkaç milyon kullanıcısı vardı. Bir Fortune 500 şirketine ait bir mobil cüzdandan alınan finansal veriler, ifşa edilen veriler arasında yer alıyor. Büyük bir şehrin ulaşım verileri ve tıbbi uygulamalardan gelen test verileri de öyle.

Zimperium, saldırganların açığa çıkan verileri bulup bulmadığını belirlemeye çalışmadı, ancak kötü aktörler, araştırmacıların bilgilere erişmek için kullandıkları aynı kamu yöntemlerini kesinlikle kullanabileceklerdi. Ve sadece maruz kalan verileri görüntüleyemezlerdi. Bazı yanlış yapılandırmalar, saldırganların verileri değiştirmesine veya üzerine yazmasına izin verir.

Bu Kargaşanın Sorumlusu Kim?

Bulut sağlayıcıları yanlış yapılandırmaları izlemeye çalışır, ancak bu depolamayı kontrol etmek ve amaçlandığı gibi çalıştığından emin olmak gerçekten geliştiricilere bağlıdır.

Veri Sızıntıları Keşfedilen Android

Güvenlik araştırmacısı Will Stafrach, “Yanlış yapılandırmanın yaygın bir sorun olabileceği kesinlikle mantıklı” dedi. “Kötü izinlere sahip AWS paketleri ve ayrıca verileri açığa çıkaran birden çok VPN düğümü gördüm. Korkunç güvenlik sorunları olan, daha iyi bilmesi gereken şirketlerden birçok uygulama gördüm. ”

Zimperium, Play Store’daki uygulamaları kontrol etmek için Google’ın App Defense Alliance Initiative’de de çalışır. Bu çalışmanın farkı, buluta maruz kalmanın kazara veri sızıntıları yerine kötü amaçlı etkinlik aramalarıdır.

Mittal, tüm bunlardan sonra bu durum hakkında farkındalık yaratmayı umuyor.

E-postanızın ve parolalarınızın sızdırıldığından endişeleniyorsanız, nasıl izleyeceğinizi öğrenmek için okumaya devam edin.

How useful was this post?

Click on a star to rate it!

Average rating 0 / 5. Vote count: 0

No votes so far! Be the first to rate this post.