Η 检查点研究(CPR) 发现敏感数据 移动应用 不受保护,任何人都可以使用 浏览器.
Ψ指向 ”VirusTotal“, 心肺复苏术 他找到 2.113 个移动应用程序,其数据库在 云 在为期三个月的研究中,所有这些都没有受到保护和暴露。 移动应用程序范围从 10.000+ 次下载 高达 10.000.000+ 次下载.
Η 检查点研究(CPR) 发现一系列移动应用程序的敏感数据被暴露并可供任何拥有浏览器的人使用。 这 VirusTotal是 Google 的附属公司,是一款免费的在线工具,可以分析文件和 URL 以检测病毒、木马和其他形式的恶意软件。
发现的敏感数据暴露于 心肺复苏术 包括: 个人家庭照片、医疗保健应用程序中的优惠券 ID、来自加密货币交换平台的数据 以及更多。 CPR 提供了几个数据被发现暴露的应用程序示例。
在其中一个中,CPR 发现暴露于 50.000 条私信 来自流行的约会应用程序。 这 心肺复苏术 警告通过所描述的方法很容易发生数据泄露,以及云安全开发人员可以做些什么来更好地保护他们的应用程序。 为了避免被利用,CPR 目前不会列出参与调查的移动应用程序的名称。
访问方法
要访问暴露的数据库,方法很简单:
- 在以下位置搜索与云服务通信的移动应用程序 VirusTotal
- 归档那些可以直接访问数据的人
- 浏览您收到的链接
评论:Lotem Finkelsteen,Check Point Software 威胁情报和研究主管:
黑客可能会问 VirusTotal 移动应用程序云后端的完整路径。 我们自己分享了一些我们可以在那里找到的例子。 我们发现的所有内容都可供任何人使用。 最后,通过这项研究,我们证明了发生数据泄露或利用是多么容易。
云中任何人都可以使用的开放数据量是惊人的。 它比我们想象的要容易得多。
如何保持安全:
以下是一些确保您的各种云服务安全的提示:
亚马逊网络服务
AWS CloudGuard S3 存储桶安全性
具体规则:“确保 S3 存储桶不可公开访问” 规则 ID:D9.AWS.NET.06
具体规则:“确保公众无法访问 S3 存储桶。” 规则 ID:D9.AWS.NET.06
谷歌云平台
确保 Cloud Storage DB 不可匿名或公开访问 规则 ID:D9.GCP.IAM.09
确保云存储数据库不是匿名的或可公开访问的 规则 ID:D9.GCP.IAM.09
微软Azure
确保存储帐户的默认网络访问规则设置为拒绝规则 ID: D9.AZU.NET.24
确保存储帐户的默认网络访问规则设置为拒绝规则 ID D9.AZU.NET.24
新闻稿
不要忘记关注它 小米miui.gr 在 谷歌新闻 立即获悉我们所有的新文章! 如果您使用 RSS 阅读器,您也可以通过点击此链接将我们的页面添加到您的列表中 >> https://news.xiaomi-miui.gr/feed/gn
