Η أبحاث نقطة التفتيش (CPR) اكتشف بيانات حساسة في تطبيقات الهاتف الجوال غير محمي ومتاح لأي شخص لديه ملف المستعرض.
Ψيشير الى "فايروس توتال"، ال CPR وجد 2.113،XNUMX تطبيقًا للهاتف المحمول، التي توجد قواعد بياناتها بتنسيق سحابة كانت غير محمية ومكشوفة ، كل ذلك خلال دراسة بحثية استمرت ثلاثة أشهر. تطبيقات الهاتف المحمول تراوحت من أكثر من 10.000 عملية تنزيل تصل إلى 10.000.000 عملية تنزيل.
Η أبحاث نقطة التفتيش (CPR) وجدت أن البيانات الحساسة لمجموعة من تطبيقات الهاتف قد تم كشفها وإتاحتها لأي شخص لديه متصفح. ال فايروس توتال، إحدى الشركات التابعة لـ Google ، هي أداة مجانية عبر الإنترنت تحلل الملفات وعناوين URL لاكتشاف الفيروسات وأحصنة طروادة وغيرها من أشكال البرامج الضارة.
البيانات الحساسة التي تم العثور عليها مكشوفة بواسطة CPR متضمن: الصور العائلية الشخصية ، ومعرفات القسيمة في تطبيق الرعاية الصحية ، والبيانات من منصات تبادل العملات المشفرة وأكثر بكثير. يوفر الإنعاش القلبي الرئوي عدة أمثلة للتطبيقات التي تم العثور على بياناتها مكشوفة.
في واحدة منهم ، وجد الإنعاش القلبي الرئوي مكشوفًا أكثر من 50.000 رسالة خاصة من أحد تطبيقات المواعدة الشهيرة. ال CPR يحذر من مدى سهولة حدوث خرق البيانات من خلال الطريقة الموضحة وما يمكن لمطوري الأمان السحابي القيام به لحماية تطبيقاتهم بشكل أفضل. من أجل تجنب الاستغلال ، لن يقوم CPR حاليًا بإدراج أسماء تطبيقات الهاتف المحمول المشاركة في التحقيق.
منهجية الوصول
للوصول إلى قواعد البيانات المكشوفة ، المنهجية بسيطة:
- ابحث عن تطبيقات الهاتف المحمول التي تتصل بالخدمات السحابية على فايروس توتال
- أرشفة أولئك الذين لديهم وصول مباشر إلى البيانات
- تصفح الرابط الذي تلقيته
تعليق: لوتيم فينكلستين ، رئيس استخبارات وأبحاث التهديدات في برنامج Check Point:
قد يسأل المتسلل فايروس توتال المسار الكامل للواجهة الخلفية السحابية لتطبيق الهاتف المحمول. نحن أنفسنا نشارك بعض الأمثلة لما يمكن أن نجده هناك. كل ما وجدناه متاح لأي شخص. أخيرًا ، من خلال هذا البحث أثبتنا مدى سهولة حدوث خرق للبيانات أو استغلالها.
كمية البيانات المفتوحة والمتاحة لأي شخص في السحابة مجنونة. الانهيار أسهل بكثير مما نعتقد.
كيف تحافظ على سلامتك:
فيما يلي بعض النصائح للتأكد من أن خدماتك السحابية المتنوعة آمنة:
أمازون ويب سيرفيسز
AWS CloudGuard S3 Bucket Security
قاعدة محددة: "تأكد من أن حاويات S3 ليست متاحة للجمهور" معرف القاعدة: D9.AWS.NET.06
قاعدة محددة: "تأكد من أن حاويات S3 لا يمكن لعامة الجمهور الوصول إليها." معرف القاعدة: D9.AWS.NET.06
نظام التشغيل السحابي من غوغل
تأكد من أن Cloud Storage DB ليس مجهول الهوية أو لا يمكن الوصول إليه بشكل عام معرف القاعدة: D9.GCP.IAM.09
تأكد من أن قاعدة بيانات التخزين السحابي ليست مجهولة المصدر أو يمكن الوصول إليها بشكل عام معرف القاعدة: D9.GCP.IAM.09
مايكروسوفت أزور
تأكد من تعيين قاعدة الوصول الافتراضية إلى الشبكة لحسابات التخزين على رفض معرف القاعدة: D9.AZU.NET.24
تأكد من تعيين قاعدة الوصول الافتراضية إلى الشبكة لحسابات التخزين على رفض معرف القاعدة D9.AZU.NET.24
خبر صحفى
لا تنسى متابعته Xiaomi-miui.gr في أخبار جوجل ليتم إطلاعك على الفور على جميع مقالاتنا الجديدة! يمكنك أيضًا إذا كنت تستخدم قارئ RSS ، فأضف صفحتنا إلى قائمتك ، ببساطة عن طريق اتباع هذا الرابط >> https://news.xiaomi-miui.gr/feed/gn
